Monitoriza la integridad de las VM confidenciales

La supervisión de integridad es una función de VM blindada y de VM confidencial que te ayuda a conocer el estado de tus instancias de VM y a tomar decisiones al respecto. Usa Cloud Monitoring y Cloud Logging.

La monitorización de integridad está habilitada de forma predeterminada en las nuevas instancias de VM confidenciales. Para saber cómo cambiar la configuración de la monitorización de integridad (incluidas las opciones de activar o desactivar el arranque seguro, el vTPM y la propia monitorización de integridad), consulta el artículo Modificar las opciones de VM blindada.

Ver informes de integridad

Puedes usar Cloud Monitoring para ver los eventos de validación de integridad y configurar alertas para ellos, y Cloud Logging para consultar los detalles de esos eventos.

Para saber cómo ver los eventos de validación de integridad y configurar alertas para ellos, consulta el artículo sobre cómo monitorizar la integridad del arranque de las VMs con Monitoring.

Ver eventos del informe de certificación de inicio

Cada vez que se inicia una instancia de Confidential VM basada en AMD SEV, se genera un evento de informe de certificación de lanzamiento como parte de los eventos de validación de integridad de la VM.

El evento del informe contiene la siguiente información útil:

• integrityEvaluationPassed: resultado de una comprobación de integridad realizada por el monitor de máquinas virtuales en la medición calculada por SEV.

• sevPolicy: los bits de la política de SEV definidos para esta VM. Los bits de la política se definen al iniciar la instancia de VM confidencial para aplicar restricciones, como si el modo de depuración está habilitado.

Para ver un evento de certificación de lanzamiento en un informe de integridad, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Instancias de VM.

   Ir a instancias de VM

2. En la tabla de instancias de VM, busca tu instancia de VM confidencial y haz clic en su nombre.

3. En la sección Registros, haga clic en Cloud Logging.

4. Se abre Cloud Logging y el informe de integridad se rellena con eventos de validación de integridad del intervalo de tiempo indicado. Es posible que tengas que cambiar el intervalo de tiempo del registro (junto al cuadro Buscar en todos los campos) para registrar los eventos de arranque.

5. Busca un informe que tenga el tipo cloud_integrity.IntegrityEvent y el bootCounter 0 y, a continuación, amplíalo.

   Para ver los datos de un campo específico, haz clic en la flecha de expansión arrow_right. Para mostrar todos los campos, haz clic en Mostrar campos anidados.

6. En la clave jsonPayload, busque la clave sevLaunchAttestationReportEvent para ver el evento del informe. Amplía el siguiente widget para ver un ejemplo de un informe de integridad típico.

   Ejemplo de informe de integridad

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Monitorizar la integridad del arranque con VM blindada

También puedes aprovechar las funciones Arranque seguro y Arranque medido de VM blindada para monitorizar la integridad de tu instancia de VM confidencial.

Arranque seguro

El arranque seguro ayuda a asegurar que el sistema de la instancia de VM confidencial solo ejecute software original. Para ello, verifica la firma digital de todos los componentes del arranque y finaliza el proceso si se produce algún error en la verificación. El firmware firmado y verificado por la autoridad de certificación de Google establece la raíz de confianza del arranque seguro, que verifica la identidad de tu VM y comprueba que forma parte del proyecto y de la región que has especificado.

El arranque seguro no está habilitado de forma predeterminada. Para saber cómo habilitar esta función y obtener más información, consulta Arranque seguro.

arranque medido

El arranque medido se habilita mediante el módulo de plataforma segura virtual (vTPM) de una instancia de VM confidencial y ayuda a proteger la instancia frente a modificaciones malintencionadas. El arranque medido monitoriza la integridad del bootloader, el kernel y los controladores de arranque de una instancia de VM confidencial.

Durante el arranque medido de una instancia de VM confidencial, PCR[0] (un registro de control de plataforma) se amplía con un evento específico del proveedor, GceNonHostInfo, que codifica que se está usando SEV.

El arranque medido está habilitado de forma predeterminada en las nuevas instancias de Confidential VMs. Más información sobre Measured Boot

Siguientes pasos

• Consulta cómo configurar alertas sobre eventos de validación de integridad y determinar la causa de los fallos de validación de integridad.

• Más información sobre un método para automatizar las respuestas a eventos de la supervisión de integridad