컨피덴셜 VM 무결성 모니터링

무결성 모니터링은 VM 인스턴스의 상태를 파악하여 결정을 내리는 데 유용한 보안 VM 및 컨피덴셜 VM의 기능입니다. Cloud Monitoring과 Cloud Logging을 모두 사용합니다.

무결성 모니터링은 새 컨피덴셜 VM 인스턴스에서 기본적으로 사용 설정됩니다. 보안 부팅, vTPM, 무결성 모니터링 전환 등 무결성 모니터링 설정을 변경하는 방법은 보안 VM 옵션 수정을 참고하세요.

무결성 보고서 보기

Cloud Monitoring을 사용하여 무결성 확인 이벤트를 확인하고 이벤트 알림을 설정하며, Cloud Logging을 사용하여 이벤트의 세부정보를 검토할 수 있습니다.

무결성 유효성 검사 이벤트를 보고 알림을 설정하는 방법은 Monitoring을 사용하여 VM 부팅 무결성 모니터링을 참고하세요.

출시 증명 보고서 이벤트 보기

AMD SEV 기반 컨피덴셜 VM 인스턴스가 부팅될 때마다 출시 증명 보고서 이벤트가 VM의 무결성 유효성 검사 이벤트의 일부로 생성됩니다.

신고 이벤트에는 다음과 같은 유용한 정보가 포함됩니다.

• integrityEvaluationPassed: SEV에서 계산한 측정에 대해 가상 머신 모니터에서 수행한 무결성 검사의 결과입니다.

• sevPolicy: 이 VM에 설정된 SEV 정책 비트입니다. 정책 비트는 디버그 모드 사용 설정 여부와 같은 제약조건을 적용하기 위해 컨피덴셜 VM 인스턴스 실행 시 설정됩니다.

무결성 보고서에서 출시 증명 보고서 이벤트를 보려면 다음 단계를 완료하세요.

1. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

   VM 인스턴스로 이동

2. VM 인스턴스 표에서 컨피덴셜 VM 인스턴스를 찾은 다음 이름을 클릭합니다.

3. 로그 섹션에서 Cloud Logging을 클릭합니다.

4. Cloud Logging이 열리고 무결성 보고서가 지정된 기간의 무결성 유효성 검사 이벤트로 채워집니다. 부팅 이벤트를 캡처하려면 로그의 기간 (모든 필드 검색 상자 옆)을 변경해야 할 수 있습니다.

5. 유형이 cloud_integrity.IntegrityEvent이고 bootCounter가 0인 보고서를 찾아 펼칩니다.

   특정 필드의 데이터를 보려면 arrow_right 확장 화살표를 클릭합니다. 모든 필드를 펼치려면 중첩된 필드 펼치기를 클릭합니다.

6. jsonPayload 키 내에서 sevLaunchAttestationReportEvent 키를 찾아 보고서 이벤트를 확인합니다. 다음 위젯을 펼쳐 일반적인 무결성 보고서의 예를 확인하세요.

   무결성 보고서 예

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

보안 VM으로 부팅 무결성 모니터링

보안 VM의 기능인 보안 부팅과 신중한 부팅을 활용하여 컨피덴셜 VM 인스턴스의 무결성을 모니터링할 수도 있습니다.

보안 부팅

보안 부팅은 모든 부팅 구성요소의 디지털 서명을 확인하고 서명 확인에 실패할 경우 부팅 프로세스를 종료하여 컨피덴셜 VM 인스턴스의 시스템에서 신뢰할 수 있는 소프트웨어만 실행되도록 합니다. Google 인증 기관에서 서명하고 확인한 펌웨어는 보안 부팅에 신뢰할 수 있는 루트를 설정하여 VM의 ID를 확인하고 VM이 지정된 프로젝트와 리전에 속하는지 확인합니다.

보안 부팅은 기본적으로 사용 설정되지 않습니다. 이 기능을 사용하는 방법과 자세한 내용은 보안 부팅을 참고하세요.

신중한 부팅

신중한 부팅은 컨피덴셜 VM 인스턴스의 vTPM (Virtual Trusted Platform Module)에 의해 사용 설정되며 인스턴스의 악의적인 수정으로부터 보호합니다. 신중한 부팅은 컨피덴셜 VM 인스턴스의 부트로더, 커널, 부팅 드라이버의 무결성을 모니터링합니다.

컨피덴셜 VM 인스턴스의 신중한 부팅 중에는 SEV가 사용 중임을 인코딩하는 공급업체별 이벤트인 GceNonHostInfo로 PCR[0] (플랫폼 제어 등록)이 확장됩니다.

신중한 부팅은 새 컨피덴셜 VM 인스턴스에서 기본적으로 사용 설정됩니다. 신중한 부팅에 대해 자세히 알아보세요.

다음 단계

• 무결성 유효성 검사 이벤트에 대한 알림을 설정하고 부팅 무결성 유효성 검사 실패의 원인을 파악하는 방법을 알아보세요.

• 무결성 모니터링 이벤트에 대한 응답을 자동화하는 한 가지 방법에 대해 알아보기