Monitora l'integrità delle VM riservate

Il monitoraggio dell'integrità è una funzionalità sia di Shielded VM che di Confidential VM che ti aiuta a comprendere e prendere decisioni sullo stato delle tue istanze VM. Utilizza sia Cloud Monitoring che Cloud Logging.

Il monitoraggio dell'integrità è abilitato per impostazione predefinita nelle nuove istanze VM riservate. Per imparare a modificare le impostazioni di monitoraggio dell'integrità, inclusa l'attivazione/la disattivazione dell'avvio protetto, del vTPM e del monitoraggio dell'integrità stesso, consulta Modificare le opzioni della VM protetta.

Visualizzare i report sull'integrità

Puoi utilizzare Cloud Monitoring per visualizzare gli eventi di convalida dell'integrità e impostare gli avvisi corrispondenti e Cloud Logging per esaminare i dettagli di questi eventi.

Per scoprire come visualizzare gli eventi di convalida dell'integrità e impostare avvisi, consulta Monitoraggio dell'integrità di avvio delle VM utilizzando il monitoraggio.

Visualizzare gli eventi del report di attestazione del lancio

Ogni volta che viene avviata un'istanza Confidential VM basata su AMD SEV, viene generato un evento di report di attestazione di avvio nell'ambito degli eventi di convalida dell'integrità della VM.

L'evento report contiene le seguenti informazioni utili:

• integrityEvaluationPassed: il risultato di un controllo dell'integrità eseguito dal monitoraggio delle macchine virtuali sulla misurazione calcolata da SEV.

• sevPolicy: i bit dei criteri SEV impostati per questa VM. I bit di criteri vengono impostati al l'avvio dell'istanza VM con accesso riservato per applicare vincoli, ad esempio se la modalità di debugging è attivata.

Per visualizzare un evento del report di attestazione del lancio in un report sull'integrità, completa i seguenti passaggi:

1. Nella console Google Cloud, vai alla pagina Istanze VM.

   Vai a Istanze VM

2. Nella tabella delle istanze VM, trova l'istanza VM riservata e fai clic sul suo nome.

3. Nella sezione Log, fai clic su Logging Cloud.

4. Si apre Cloud Logging e il report sull'integrità viene compilato con gli eventi di convalida dell'integrità per l'intervallo di tempo specificato. Potresti dover modificare l'intervallo di tempo del log (accanto alla casella Cerca in tutti i campi) per acquisire gli eventi di avvio.

5. Trova un report di tipo cloud_integrity.IntegrityEvent e con un valore bootCounter di 0, quindi espandilo.

   Per visualizzare i dati di un campo specifico, fai clic sulla freccia di espansione arrow_right. Per espandere tutti i campi, fai clic su Espandi campi nidificati.

6. All'interno della chiave jsonPayload, cerca la chiave sevLaunchAttestationReportEvent per visualizzare l'evento del report. Espandi il seguente widget per un esempio di report sull'integrità tipico.

   Esempio di report sull'integrità

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Monitorare l'integrità dell'avvio con la VM protetta

Puoi anche sfruttare l'avvio protetto e l'avvio con misurazioni, funzionalità di Shielded VM, per monitorare l'integrità della tua istanza Confidential VM.

Avvio protetto

L'avvio protetto contribuisce ad assicurare che il sistema dell'istanza VM riservata esegua solo software autentici verificando la firma digitale di tutti i componenti di avvio e interrompendo il processo di avvio se la firma non supera la verifica. Il firmware firmato e verificato dall'Autorità di certificazione di Google stabilisce la radice di attendibilità per l'avvio protetto, che verifica l'identità della VM e controlla che faccia parte del progetto e della regione specificati.

L'Avvio protetto non è abilitato per impostazione predefinita. Per scoprire come attivare questa funzionalità e per ulteriori informazioni, consulta Avvio sicuro.

avvio con misurazioni

L'avvio con misurazioni è abilitato dal Virtual Trusted Platform Module (vTPM) di un'istanza Confidential VM e aiuta a proteggerla da modifiche dannose. L'avvio con misurazioni monitora l'integrità del bootloader, del kernel e dei driver di avvio di un'istanza VM riservata.

Durante l'avvio con misurazioni di un'istanza Confidential VM, PCR[0] (un registro di controllo della piattaforma) viene esteso con un evento specifico del fornitore, GceNonHostInfo, che codifica che l'SEV è in uso.

L'avvio con misurazioni è abilitato per impostazione predefinita nelle nuove istanze Confidential VM. Scopri di più sul boot misurato.

Passaggi successivi

• Scopri come impostare avvisi sugli eventi di convalida dell'integrità e determinare la causa dell'errore di convalida dell'integrità di avvio.

• Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.