Monitorize a integridade das Confidential VMs

A monitorização da integridade é uma funcionalidade da VM protegida e da VM confidencial que ajuda a compreender e tomar decisões sobre o estado das suas instâncias de VM. Utiliza o Cloud Monitoring e o Cloud Logging.

A monitorização da integridade está ativada por predefinição em novas instâncias de Confidential VM. Para saber como alterar as definições de monitorização da integridade, incluindo ativar/desativar o arranque seguro, o vTPM e a própria monitorização da integridade, consulte Modificar as opções da VM protegida.

Veja relatórios de integridade

Pode usar o Cloud Monitoring para ver eventos de validação de integridade e configurar alertas para os mesmos, e o Cloud Logging para rever os detalhes desses eventos.

Para saber como ver eventos de validação da integridade e definir alertas nos mesmos, consulte o artigo Monitorizar a integridade do arranque da VM através da monitorização.

Veja eventos do relatório de atestação de lançamento

Sempre que uma instância de VM confidencial baseada em AMD SEV é iniciada, é gerado um evento de relatório de atestação de lançamento como parte dos eventos de validação de integridade da VM.

O evento de relatório contém as seguintes informações úteis:

• integrityEvaluationPassed: O resultado de uma verificação de integridade realizada pelo monitor da máquina virtual na medição calculada pelo SEV.

• sevPolicy: os bits da política SEV definidos para esta VM. Os bits de política são definidos no lançamento da instância de VM confidencial para aplicar restrições, como se o modo de depuração está ativado.

Para ver um evento de relatório de atestação de lançamento num relatório de integridade, conclua os seguintes passos:

1. Na Google Cloud consola, aceda à página Instâncias de VM.

   Aceder às instâncias de VM

2. Na tabela de instâncias de VMs, encontre a sua instância de VM confidencial e, de seguida, clique no respetivo nome.

3. Na secção Registos, clique em Cloud Logging.

4. O Cloud Logging é aberto e o relatório de integridade é preenchido com eventos de validação de integridade para o intervalo de tempo indicado. Pode ter de alterar o intervalo de tempo do registo (junto à caixa Pesquisar todos os campos) para capturar os eventos de arranque.

5. Encontre um relatório que tenha um tipo de cloud_integrity.IntegrityEvent e um bootCounter de 0 e, em seguida, expanda-o.

   Para ver os dados de um campo específico, clique na seta de expansão arrow_right. Para expandir todos os campos, clique em Expandir campos aninhados.

6. Na chave jsonPayload, procure a chave sevLaunchAttestationReportEvent para ver o evento de relatório. Expanda o widget seguinte para ver um exemplo de um relatório de integridade típico.

   Exemplo de relatório de integridade

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Monitorize a integridade do arranque com a VM protegida

Também pode tirar partido do arranque seguro e do arranque medido, funcionalidades da VM protegida, para monitorizar a integridade da instância de VM confidencial.

Arranque seguro

O arranque seguro ajuda a garantir que o sistema da instância de VM confidencial só executa software autêntico validando a assinatura digital de todos os componentes de arranque e terminando o processo de arranque se a validação da assinatura falhar. O firmware assinado e validado pela autoridade de certificação da Google estabelece a raiz de confiança para o arranque seguro, que valida a identidade da sua VM e verifica se faz parte do projeto e da região especificados.

O arranque seguro não está ativado por predefinição. Para saber como ativar esta funcionalidade e para mais informações, consulte o artigo Arranque seguro.

inicialização medida

O Arranque medido é ativado pelo Módulo de plataforma fidedigna virtual (vTPM) de uma instância de VM confidencial e ajuda a proteger contra modificações maliciosas na instância. O arranque medido monitoriza a integridade do carregador de arranque, do kernel e dos controladores de arranque de uma instância de VM confidencial.

Durante o arranque medido de uma instância de VM confidencial, PCR[0] (um registo de controlo da plataforma) é expandido com um evento específico do fornecedor, GceNonHostInfo, que codifica que o SEV está em utilização.

O arranque medido está ativado por predefinição em novas instâncias de Confidential VM. Saiba mais acerca do Arranque medido.

O que se segue?

• Saiba como definir alertas em eventos de validação de integridade e determinar a causa da falha na validação de integridade de arranque.

• Saiba mais sobre uma abordagem para automatizar as respostas a eventos de monitorização da integridade.