Surveiller l'intégrité des Confidential VM

La surveillance de l'intégrité est une fonctionnalité des VM protégées et des Confidential VM qui vous aide à comprendre l'état de vos instances de VM et à prendre des décisions les concernant. Il utilise à la fois Cloud Monitoring et Cloud Logging.

La surveillance de l'intégrité est activée par défaut sur les nouvelles instances de Confidential VM. Pour savoir comment modifier les paramètres de surveillance de l'intégrité, y compris l'activation ou la désactivation du démarrage sécurisé, du module vTPM et de la surveillance de l'intégrité à proprement parler, consultez la page Modifier les options de VM protégée.

Afficher les rapports d'intégrité

Vous pouvez utiliser Cloud Monitoring pour afficher les événements de validation d'intégrité et définir des alertes sur ces événements, ainsi que Cloud Logging pour consulter les informations sur ces événements.

Pour savoir comment afficher les événements de validation de l'intégrité et définir des alertes à leur sujet, consultez Surveiller l'intégrité du processus de démarrage de la VM à l'aide de Monitoring.

Afficher les événements du rapport d'attestation de lancement

À chaque démarrage d'une instance de Confidential VM basée sur AMD SEV, un événement de rapport d'attestation de lancement est généré dans le cadre des événements de validation d'intégrité de la VM.

L'événement de rapport contient les informations utiles suivantes :

• integrityEvaluationPassed : résultat d'une vérification de l'intégrité effectuée par le moniteur de machine virtuelle sur la mesure calculée par SEV.

• sevPolicy : bits de règles SEV définis pour cette VM. Les bits de règles sont définis lors du lancement de l'instance Confidential VM pour appliquer des contraintes, telles que l'activation ou la désactivation du mode de débogage.

Pour afficher un événement de rapport d'attestation de lancement dans un rapport d'intégrité, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Instances de VM.

   Accéder à la page Instances de VM

2. Dans le tableau des instances de VM, recherchez votre instance Confidential VM, puis cliquez sur son nom.

3. Dans la section Journaux, cliquez sur Cloud Logging.

4. Cloud Logging s'ouvre et des événements de validation d'intégrité s'affichent dans le rapport d'intégrité pour la plage de dates spécifiée. Vous devrez peut-être modifier la période du journal (à côté de la zone Rechercher dans tous les champs) pour capturer les événements de démarrage.

5. Recherchez un rapport de type cloud_integrity.IntegrityEvent et de bootCounter 0, puis développez-le.

   Pour afficher les données d'un champ spécifique, cliquez sur la flèche de développement arrow_right. Pour développer tous les champs, cliquez sur Développer les champs imbriqués.

6. Dans la clé jsonPayload, recherchez la clé sevLaunchAttestationReportEvent pour afficher l'événement de rapport. Développez le widget suivant pour obtenir un exemple de rapport d'intégrité typique.

   Exemple de rapport sur l'intégrité

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Surveiller l'intégrité du démarrage avec une VM protégée

Vous pouvez également exploiter le démarrage sécurisé et le démarrage mesuré, des fonctionnalités de VM protégée, pour surveiller l'intégrité de votre instance de Confidential VM.

Démarrage sécurisé

Le démarrage sécurisé vous permet de vous assurer que le système de l'instance de Confidential VM n'exécute que des logiciels authentiques. Il vérifie pour cela la signature numérique de tous les composants de démarrage et arrête le processus de démarrage si cette vérification échoue. Le micrologiciel signé et validé par l'autorité de certification de Google établit la racine de confiance pour le démarrage sécurisé, qui vérifie l'identité de votre VM, et s'assure qu'elle fait partie du projet et de la région spécifiés.

Le démarrage sécurisé n'est pas activé par défaut. Pour découvrir comment activer cette fonctionnalité et en savoir plus, consultez Démarrage sécurisé.

Démarrage mesuré

Le démarrage mesuré est activé par le module vTPM (Virtual Trusted Platform Module) d'une instance de Confidential VM et permet d'éviter les modifications malveillantes de l'instance. Le démarrage mesuré surveille l'intégrité du bootloader, du noyau et des pilotes de démarrage d'une instance Confidential VM.

Lors du démarrage mesuré d'une instance Confidential VM, PCR[0] (un registre de contrôle de plate-forme) est étendu avec un événement spécifique au fournisseur, GceNonHostInfo, qui indique que SEV est utilisé.

Le démarrage mesuré est activé par défaut dans les nouvelles instances de Confidential VM. En savoir plus sur le démarrage mesuré

Étapes suivantes

• Découvrez comment définir des alertes sur les événements de validation d'intégrité et déterminer la cause de l'échec de la validation d'intégrité du démarrage.

• Découvrez une approche permettant d'automatiser les réponses aux événements de surveillance de l'intégrité.