Supervisa la integridad de Confidential VM

La supervisión de integridad es una función de las VM protegidas y las Confidential VM que te ayuda a comprender y tomar decisiones sobre el estado de tus instancias de VM. Usa Cloud Monitoring y Cloud Logging.

La supervisión de integridad está habilitada de forma predeterminada en las instancias de Confidential VM nuevas. Para obtener información sobre cómo cambiar la configuración de la supervisión de integridad, incluida la activación o desactivación del Inicio seguro, del vTPM y de la supervisión de integridad, consulta Modifica las opciones de VM protegida.

Visualiza informes de integridad

Puedes usar Cloud Monitoring para ver los eventos de validación de integridad y configurar alertas para ellos, y Cloud Logging para revisar los detalles de esos eventos.

Para obtener información sobre cómo ver los eventos de validación de integridad y configurar alertas en ellos, consulta Supervisa la integridad de inicio de una VM mediante Monitoring.

Visualiza eventos de informes de certificación de inicio

Cada vez que se inicia una instancia de Confidential VM basada en SEV de AMD, se genera un evento de informe de certificación de inicio como parte de los eventos de validación de integridad de la VM.

El evento de informe contiene la siguiente información útil:

• integrityEvaluationPassed: Es el resultado de una verificación de integridad que realiza el supervisor de la máquina virtual en la medida calculada por SEV.

• sevPolicy: Son los bits de la política de SEV configurados para esta VM. Los bits de política se establecen en el inicio de la instancia de VM confidencial para aplicar restricciones, como si se habilita o no el modo de depuración.

Para ver un evento de informe de certificación de lanzamiento en un informe de integridad, completa los siguientes pasos:

1. En la consola de Google Cloud, ve a la página Instancias de VM.

   Ir a Instancias de VM

2. En la tabla de instancias de VM, busca tu instancia de Confidential VM y, luego, haz clic en su nombre.

3. En la sección Registros, haz clic en Cloud Logging.

4. Se abre Cloud Logging, y el informe de integridad se propaga con eventos de validación de integridad para el período determinado. Es posible que debas cambiar el intervalo de tiempo del registro (junto al cuadro Buscar en todos los campos) para capturar los eventos de inicio.

5. Busca un informe que tenga un tipo de cloud_integrity.IntegrityEvent y un bootCounter de 0 y, luego, expándelo.

   Para ver los datos de un campo específico, haz clic en la flecha de expansión arrow_right. Para expandir todos los campos, haz clic en Expandir campos anidados.

6. Dentro de la clave jsonPayload, busca la clave sevLaunchAttestationReportEvent para ver el evento de informe. Expande el siguiente widget para ver un ejemplo de un informe de integridad típico.

   Ejemplo de informe de integridad

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Supervisa la integridad de inicio con la VM protegida

También puedes aprovechar el inicio seguro y el inicio medido, funciones de las VM protegidas, para supervisar la integridad de tu instancia de Confidential VM.

Inicio seguro

El inicio seguro ayuda a garantizar que el sistema de la instancia de Confidential VM solo ejecute software auténtico mediante la verificación de la firma digital de todos los componentes de inicio y la interrupción del proceso de inicio si la verificación de la firma falla. El firmware firmado y verificado por la autoridad certificadora de Google establece la raíz de confianza para el inicio seguro, que verifica la identidad de tu VM y controla que sea parte del proyecto y de la región que se especificaron.

El inicio seguro no está habilitado de forma predeterminada. Para obtener información sobre cómo habilitar esta función y otros detalles, consulta Inicio seguro.

Inicio medido

El inicio medido está habilitado por el módulo de plataforma de confianza virtual (vTPM) de una instancia de VM confidencial y ayuda a proteger contra modificaciones maliciosas en la instancia. El inicio medido supervisa la integridad del bootloader, el kernel y los controladores de inicio de una instancia de Confidential VM.

Durante el inicio medido de una instancia de Confidential VM, PCR[0] (un registro de control de la plataforma) se extiende con un evento específico del proveedor, GceNonHostInfo, que codifica que la SEV está en uso.

El inicio medido está habilitado de forma predeterminada en las nuevas instancias de Confidential VM. Obtén más información sobre el inicio medido.

¿Qué sigue?

• Obtén más información para configurar alertas en eventos de validación de integridad y determinar la causa de una falla de la validación de integridad de inicio.

• Obtén información sobre un enfoque para automatizar las respuestas a los eventos de supervisión de integridad.