O monitoramento de integridade é um recurso da VM protegida e da VM confidencial que ajuda a entender e tomar decisões sobre o estado das instâncias de VM. Ele usa o Cloud Monitoring e o Cloud Logging.
O monitoramento de integridade é ativado por padrão em novas instâncias de VM confidenciais. Para aprender a mudar as configurações de monitoramento de integridade, incluindo a alternância entre a inicialização segura, o vTPM e o próprio monitoramento de integridade, consulte Como modificar as opções de VM protegida.
Visualizar relatórios de integridade
Use o Cloud Monitoring para conferir eventos de validação de integridade e definir alertas para eles, e o Cloud Logging para analisar os detalhes desses eventos.
Para saber como visualizar eventos de validação de integridade e definir alertas neles, consulte Como monitorar a integridade da inicialização da VM usando o Monitoring.
Visualizar eventos do relatório de atestado de inicialização
Sempre que uma instância de VM confidencial baseada em SEV AMD é inicializada, um evento do relatório de atestado de inicialização é gerado como parte dos eventos de validação de integridade da VM.
O evento de relatório contém as seguintes informações úteis:
integrityEvaluationPassed
: o resultado de uma verificação de integridade realizada pelo monitor de máquina virtual na medição calculada pela SEV.sevPolicy
: os bits de política da SEV definidos para esta VM. Os bits de política são definidos na inicialização da instância de VM confidencial para impor restrições, como se o modo de depuração está ativado.
Para conferir um evento do relatório de atestado de inicialização em um relatório de integridade, siga estas etapas:
No console do Google Cloud, acesse a página Instâncias de VMs.
Na tabela "Instâncias de VM", encontre a instância de VM confidencial e clique no nome dela.
Na seção Registros, clique em Cloud Logging.
O Cloud Logging é aberto, e o relatório de integridade é preenchido com eventos de validação de integridade para o período especificado. Talvez seja necessário mudar o período do registro (ao lado da caixa Pesquisar todos os campos) para capturar os eventos de inicialização.
Encontre um relatório com um tipo de
cloud_integrity.IntegrityEvent
e umbootCounter
de0
e abra.Para conferir os dados de um campo específico, clique na seta de expansão
. Para expandir todos os campos, clique em Expandir campos aninhados.Dentro da chave
jsonPayload
, procure a chavesevLaunchAttestationReportEvent
para conferir o evento do relatório. Abra o widget a seguir para conferir um exemplo de relatório de integridade típico.Exemplo de relatório de integridade
{ insertId: "0" jsonPayload: { @type: "type.googleapis.com/cloud_integrity.IntegrityEvent" bootCounter: "0" sevLaunchAttestationReportEvent: { integrityEvaluationPassed: true sevPolicy: { debugEnabled: false domainOnly: false esRequired: false keySharingAllowed: false minApiMajor: 0 minApiMinor: 0 sendAllowed: true sevOnly: true } } } logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity" receiveTimestamp: "2023-08-06T23:43:09.422303036Z" resource: { labels: { instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME) project_id: "PROJECT_ID" zone: "VM_ZONE" } type: "gce_instance" } severity: "NOTICE" timestamp: "2023-08-06T23:43:07.407511786Z" }
Monitorar a integridade da inicialização com a VM protegida
Também é possível aproveitar a Inicialização segura e a Inicialização medida, recursos de VMs protegidas, para monitorar a integridade da instância de VM confidencial.
Inicialização segura
A inicialização segura ajuda a garantir que o sistema da instância de VM confidencial execute apenas um software autêntico. Para isso, ela verifica a assinatura digital de todos os componentes de inicialização e encerra o processo de inicialização se a verificação da assinatura falhar. O firmware assinado e verificado pela autoridade de certificação do Google estabelece a raiz de confiança da Inicialização segura, que verifica a identidade da VM e confere se ela faz parte do projeto e da região especificados.
A Inicialização segura não está ativada por padrão. Para saber como ativar esse recurso e para mais informações, consulte Inicialização segura.
Inicialização medida
A Inicialização medida é ativada pelo módulo de plataforma confiável virtual (vTPM, na sigla em inglês) de uma instância de VM confidencial e ajuda a proteger contra modificações mal-intencionadas na instância. A Inicialização medida monitora a integridade do carregador de inicialização, do kernel e dos drivers de inicialização de uma instância de VM confidencial.
Durante a inicialização medida de uma instância de VM confidencial, PCR[0]
(um
registro de controle da plataforma)
é estendido com um evento específico do fornecedor, GceNonHostInfo
, que codifica o uso da
SEV.
A Inicialização medida é ativada por padrão em novas instâncias de VMs confidenciais. Saiba mais sobre a Inicialização medida.
A seguir
Saiba como definir alertas sobre eventos de validação de integridade e determinar a causa da falha na validação da integridade da inicialização.
Conheça uma abordagem para automatizar respostas a eventos de monitoramento de integridade.