このページの一部またはすべての情報は、Cloud de Confiance by S3NS に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

このページは Cloud Translation API によって翻訳されました。

Shielded VM の完全性モニタリング

このドキュメントでは、Cloud Monitoring を使用して整合性モニタリングを有効化している Shielded VM インスタンス起動時の整合性をモニタリングし、整合性検証の失敗の原因を特定して、整合性ポリシーベースラインを更新する方法を説明します。

Monitoring を使用して VM 起動時の完全性をモニタリングする

Cloud Monitoring を使用して、整合性検証イベントを表示し、アラートを設定します。また、Cloud Logging を使用して、これらのイベントの詳細を確認します。

完全性検証イベントを表示する

Metrics Explorer を使用してモニタリング対象リソースの指標を表示するには、次の操作を行います。

Cloud de Confiance コンソールで [Metrics explorer] のページに移動します。
[Metrics Explorer] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。
Cloud de Confiance コンソールのツールバーで、 Cloud de Confiance プロジェクトを選択します。App Hub の構成には、App Hub ホストプロジェクトまたはアプリ管理用フォルダの管理プロジェクトを選択します。
[指標] 要素の [指標を選択] メニューを開いてフィルタバーに「Boot Validation」と入力し、サブメニューを使用して特定のリソースタイプと指標を選択します。
1. [有効なリソース] メニューで、[VM インスタンス] を選択します。
2. [有効な指標カテゴリ] メニューで、[インスタンス] を選択します。
3. [有効な指標] メニューで、[Early Boot Validation] または [Late Boot Validation] を選択します。
  - [Early Boot Validation]: 前回のブートシーケンスのアーリーブート部分の合否ステータスが示されます。アーリーブートとは、UEFI ファームウェアが起動してから、制御がブートローダーに渡されるまでのブートシーケンスです。
  - [Late Boot Validation]: 前回のブートシーケンスのレイトブート部分の合否ステータスが示されます。レイトブートとは、制御がブートローダーに渡されてから起動が完了するまでのブートシーケンスです。これには、オペレーティングシステムカーネルの読み込みが含まれます。
4. [適用] をクリックします。
クエリ結果から時系列を削除するフィルタを追加するには、[フィルタ] 要素を使用します。
時系列を結合するには、[集計] 要素のメニューを使用します。たとえば、ゾーンに基づいて VM の CPU 使用率を表示するには、最初のメニューを [平均] に設定し、2 番目のメニューを [ゾーン] に設定します。

[集計] 要素の最初のメニューが [未集計] に設定されている場合は、すべての時系列が表示されます。[集計] 要素のデフォルト設定は、選択した指標タイプによって決まります。
割り当てと、1 日に 1 つのサンプルを報告するその他の指標については、次の操作を行います。
1. [表示] ペインで、[ウィジェットタイプ] を [積み上げ棒グラフ] に設定します。
2. 期間は 1 週間以上で設定します。

整合性検証イベントに基づくアラートを設定する

VM インスタンスでブート検証失敗が発生した場合に通知を受け取るには、[Early Boot Validation] 指標と [Late Boot Validation] 指標の値に基づくアラートを設定します。アラートについては、アラートの概要をご覧ください。

アーリーブート検証アラートポリシーの設定については、Compute Engine のアーリーブート検証をご覧ください。
レイトブート検証アラートポリシーの設定については、Compute Engine のレイトブート検証をご覧ください。

整合性検証イベントの詳細を表示する

[VM インスタンス] ページに移動
インスタンス ID をクリックして、[VM インスタンスの詳細] ページを開きます。
[ログ] で [Cloud Logging] をクリックします。
確認する earlyBootReportEvent または lateBootReportEvent のログエントリを見つけます。
ログエントリ > jsonPayload > earlyBootReportEvent または lateBootReportEvent を必要に応じて展開します。そのセクション内にある policyEvaluationPassed 要素が、ブートシーケンスの該当する部分が整合性ポリシーベースラインに対する検証に合格したかどうかを識別します。
actualMeasurements セクションを展開します。その中にある番号付きの要素を展開して、前回のブートシーケンスで保存されたプラットフォーム構成レジスタ（PCR）値を確認します。PCR 値は、番号付きの要素内の value 要素に保存されています。PCR 値は、前回のブートシーケンスで使用されたブートコンポーネントとコンポーネント読み込み順を識別します。この PCR 値が整合性ポリシーベースラインと比較されて、VM インスタンスのブートシーケンスに変更があったかどうかが判別されます。PCR の意味について詳しくは、整合性モニタリングイベントをご覧ください。
policyMeasurements セクションを開いて、整合性ポリシーベースライン用に保存された PCR 値を確認します。

完全性検証イベントに対するレスポンスを自動化する

Cloud Run 関数などの別のサービスに Cloud Logging のログをエクスポートして処理することで、ブート検証イベントに対するレスポンスを自動化できます。詳細については、ルーティングとストレージの概要、完全性検証の失敗に対するレスポンスの自動化をご覧ください。

起動時の整合性検証の失敗原因を特定する

[VM インスタンス] ページに移動
インスタンス ID をクリックして、[VM インスタンスの詳細] ページを開きます。
[ログ] で [Cloud Logging] をクリックします。
最新の earlyBootReportEvent ログエントリと lateBootReportEvent ログエントリを見つけて、どちらのエントリで policyEvaluationPassed 値が false になっているかを確認します。
ログエントリ > jsonPayload > earlyBootReportEvent または lateBootReportEvent を必要に応じて展開します。
actualMeasurements セクションと policyMeasurements セクションを展開します。それぞれのセクション内にある番号付きの要素を展開して、前回のブートシーケンスと整合性ポリシーベースラインのそれぞれで保存されたプラットフォーム構成レジスタ（PCR）値を確認します。PCR 値は、前回のブートシーケンスと整合性ポリシーベースラインで使用されている、ブートコンポーネントとコンポーネント読み込み順を識別します。
actualMeasurements セクションと policyMeasurements セクションの PCR 値を比較して、前回のブートシーケンスと整合性ポリシーベースラインの差異がどこにあるのかを判断します。どちらの比較であっても、異なる値を示したものが検証を失敗させた原因です。これらのセクション内の要素の番号が PCR の番号に対応していることはほとんどないという点に注意してください。また、actualMeasurements と policyMeasurements で同じように番号が付けられている要素が、異なる PCR を表す場合があります。たとえば Windows と Linux のアーリーブートシーケンスでは、actualMeasurements 内の要素 3 と policyMeasurements 内の要素 2 はどちらも PCR7 を表します。

重要: Windows のブートシーケンスでの PCR13 と PCR14 を表す要素は、VM インスタンス作成後の最初の起動が完了するまで policyMeasurements 内に出現しません。これらの PCR 値は、再起動中にキャプチャされて整合性ポリシーベースラインに追加されます。それまでは、ブート整合性検証では policyMeasurements 内の PCR4、PCR7、PCR11 のみが使用されます。
整合性モニタリングイベントを確認して、変更された PCR が表す内容を判断し、それが予想される変更かどうかを調査します。

整合性ポリシーベースラインの更新

初期の整合性ポリシーベースラインは、インスタンスの作成時に、暗黙的に信頼されているブートイメージから派生します。ベースラインを更新すると、現在のインスタンス構成を使用して整合性ポリシーベースラインが更新されます。ベースラインを更新するときは、VM インスタンスが実行中でなければなりません。

インスタンス構成で、予定されていたブート固有の変更（カーネルの更新、ドライバのインストールなど）を行った後、ベースラインを更新しないと、整合性検証が失敗することになります。予期しない整合性検証エラーが発生した場合は、エラーの理由を調査し、必要に応じてインスタンスを停止するよう準備してください。

整合性ポリシーベースラインを更新するには、setShieldedInstanceIntegrityPolicy 権限が必要です。

整合性ポリシーベースラインを更新する手順は次のとおりです。

gcloud

VM インスタンスの整合性ポリシーベースラインを更新するには、compute instances update コマンドと --shielded-learn-integrity-policy フラグを使用します。

次の例では、my-instance VM インスタンスの整合性ポリシーベースラインをリセットします。

gcloud compute instances update INSTANCE_NAME \
    --zone=ZONE \
    --shielded-learn-integrity-policy

次のように置き換えます。

INSTANCE_NAME: VM の名前。
ZONE: VM が存在するゾーン。

REST

VM インスタンスの整合性ポリシーベースラインを更新するには、setShieldedInstanceIntegrityPolicy メソッドを使用し、リクエスト本文のアイテムとして updateAutoLearnPolicy を指定します。

次の例では、VM インスタンスの整合性ポリシーベースラインをリセットします。

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME/setShieldedInstanceIntegrityPolicy?key=YOUR_API_KEY
{
  "updateAutoLearnPolicy": true
}