Memantau integritas Confidential VM

Pemantauan integritas adalah fitur Shielded VM dan Confidential VM yang membantu Anda memahami dan membuat keputusan tentang status instance VM Anda. Fitur ini menggunakan Cloud Monitoring dan Cloud Logging.

Pemantauan integritas diaktifkan secara default di instance Confidential VM baru. Untuk mempelajari cara mengubah setelan pemantauan integritas—termasuk mengalihkan Booting Aman, vTPM, dan pemantauan integritas itu sendiri—lihat Mengubah opsi Shielded VM.

Melihat laporan integritas

Anda dapat menggunakan Cloud Monitoring untuk melihat peristiwa validasi integritas dan menetapkan pemberitahuan untuknya, serta Cloud Logging untuk meninjau detail peristiwa tersebut.

Untuk mempelajari cara melihat peristiwa validasi integritas dan menetapkan pemberitahuan untuknya, lihat Memantau integritas booting VM menggunakan Monitoring.

Melihat peristiwa laporan pengesahan peluncuran

Setiap kali instance Confidential VM berbasis AMD SEV melakukan booting, peristiwa laporan atestasi peluncuran akan dibuat sebagai bagian dari peristiwa validasi integritas untuk VM.

Peristiwa laporan berisi informasi berguna berikut:

• integrityEvaluationPassed: Hasil pemeriksaan integritas yang dilakukan oleh Virtual Machine Monitor pada pengukuran yang dihitung oleh SEV.

• sevPolicy: Bit kebijakan SEV yang ditetapkan untuk VM ini. Bit kebijakan ditetapkan saat peluncuran instance VM Rahasia untuk menerapkan batasan, seperti apakah mode debug diaktifkan.

Untuk melihat peristiwa laporan pengesahan peluncuran dalam laporan integritas, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Instance VM.

   Buka instance VM

2. Di tabel instance VM, temukan instance VM Rahasia Anda, lalu klik namanya.

3. Di bagian Logs, klik Cloud Logging.

4. Cloud Logging akan terbuka, dan laporan integritas akan diisi dengan peristiwa validasi integritas untuk rentang waktu tertentu. Anda mungkin perlu mengubah rentang waktu log (di samping kotak Telusuri semua kolom) untuk merekam peristiwa booting.

5. Temukan laporan yang memiliki jenis cloud_integrity.IntegrityEvent dan bootCounter 0, lalu luaskan.

   Untuk melihat data untuk kolom tertentu, klik panah peluas arrow_right. Untuk meluaskan semua kolom, klik Luaskan kolom bertingkat.

6. Di dalam kunci jsonPayload, cari kunci sevLaunchAttestationReportEvent untuk melihat peristiwa laporan. Luaskan widget berikut untuk melihat contoh laporan integritas standar.

   Contoh laporan integritas

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Memantau integritas booting dengan Shielded VM

Anda juga dapat memanfaatkan Booting Aman dan Booting Terukur, fitur Shielded VM, untuk memantau integritas instance Confidential VM.

Booting Aman

Booting Aman membantu memastikan bahwa sistem instance Confidential VM hanya menjalankan software asli dengan memverifikasi tanda tangan digital semua komponen booting dan mengakhiri proses booting jika verifikasi tanda tangan gagal. Firmware yang ditandatangani dan diverifikasi oleh Certificate Authority Google menetapkan root of trust untuk Booting Aman, yang memverifikasi identitas VM Anda dan memeriksa apakah VM tersebut merupakan bagian dari project dan region yang Anda tentukan.

Secure Boot tidak diaktifkan secara default. Untuk mempelajari cara mengaktifkan fitur ini dan untuk informasi selengkapnya, lihat Booting Aman.

Booting Terukur

Booting Terukur diaktifkan oleh Virtual Trusted Platform Module (vTPM) instance VM Rahasia dan membantu mencegah modifikasi berbahaya pada instance. Booting Terukur memantau integritas bootloader, kernel, dan driver booting instance Confidential VM.

Selama Booting Terukur instance Confidential VM, PCR[0] (register kontrol platform) diperluas dengan peristiwa khusus vendor, GceNonHostInfo, yang mengenkode bahwa SEV sedang digunakan.

Booting Terukur diaktifkan secara default di instance Confidential VM baru. Pelajari Booting Terukur lebih lanjut.

Langkah selanjutnya

• Pelajari cara menetapkan pemberitahuan pada peristiwa validasi integritas dan menentukan penyebab kegagalan validasi integritas booting.

• Pelajari satu pendekatan untuk mengotomatiskan respons terhadap peristiwa pemantauan integritas.