文档

使用可信实例

更新时间:

本文介绍如何使用和运维基于vTPM的可信实例,包括快速筛选实例、查看实例可信状态、处理相关状态异常等操作。

查看实例的可信状态

创建实例时会启动度量基准,与后续实例启动的度量值进行比较,以确定该实例是否有任何更改,并将度量结果(即是否可信的状态)呈现在云安全中心控制台。

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在实例列表页面,单击标签筛选,选择acs:ecs:supportVtpm标签,筛选可信实例。

    image.png
  4. 单击要查看的可信实例操作系统列的image.png图标。

    系统会自动跳转到云安全中心控制台的主机资产

  5. 单击可信信息页签,查看实例的可信状态。

    可信信息

    资产启动概况区域中的圆圈与②资产中组件可信状态区域中的组件列表一一对应。①资产启动概况区域中圆圈的颜色代表了该环节是否正常:

    • 如果圆圈全部是绿色,代表实例启动过程是正常的。相应的,实际度量值(即,系统可信功能收集到的实际状态)和标准值都一致。

    • 如果启动过程中某一环节出错,则对应的圆圈会变为红色,其后的圆圈变为灰色。您可以在安全告警处理页签中查看该环节的具体信息,并尝试修复。具体操作,请参见处理可信异常

    说明

    如果在可信信息页签下显示设备处于未度量状态,表示可信实例长时间未上报有效度量结果,这时云安全中心控制台也不会展示详细的可信信息。关于如何处理未度量情况,请参见处理未度量状态

    PCR即平台配置寄存器(Platform Configuration Register),是可信安全设备的存储单元,能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节,PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致,则认为该环节符合预期。每个环节中度量的对象如下:

    • pcr0:表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。

    • pcr1:表征主机平台配置。

    • pcr2:表征UEFI驱动、应用代码。

    • pcr3:表征UEFI驱动、应用配置、应用数据。

    • pcr4:表征UEFI启动管理代码(通常是MBR)。

    • pcr5:表征UEFI启动管理代码(通常是MBR)、启动相关数据(由UEFI启动管理代码使用的数据)、GPT分区表。

    • pcr6:表征平台生产厂商定义的特定UEFI固件。

    • pcr7:表征安全启动策略。

    • pcr8:表征在grub.cfg等配置文件中规定执行的关键命令(不会度量非关键命令,例如定义启动菜单标题的命令),以及传递给Linux内核的命令行信息。

    • pcr9:表征GRUB模块、Linux内核和initramfs。

    说明

    ISO提供了详细的定义,具体信息,请参见ISO国际标准《ISO/IEC 11889:2015 Trusted Platform Module Library》

处理可信异常

如果启动过程中某一环节出错,则可信信息页签下对应的圆圈会变为红色,您需要前往安全告警处理页签查看详细告警信息并修复异常状态。

  1. 单击安全告警处理页签,选择告警类型可信异常

    image.png
  2. 在告警信息的右侧,单击详情查看具体报错信息。

    说明

    如果安全告警信息一直未处理,会周期性提示,但不会产生多条告警信息,只在最近发生时间显示最近一次告警的时间。

  3. 联系系统管理人员,确认近期是否进行过系统升级与维护操作,例如升级操作系统内核、改变操作系统启动参数以及修改初始文件系统(initramfs)等,然后根据不同情况采取不同方式来修复可信异常。

    • 场景一:近期没有进行系统升级或维护操作,检查修复后忽略告警。

      该场景下出现异常告警,可能是因为您的实例发生了安全事件,例如受到RootKit或BootKit等恶意软件的破坏。建议您与系统管理人员深入检查系统和修复相关异常,然后忽略告警。操作步骤如下:

      1. 建议您开启和使用云安全中心的病毒防御漏洞修复功能,然后升级最新病毒库,检查当前系统内的恶意软件情况,并最终修复系统。

      2. 安全告警处理页签,单击处理

      3. 选择忽略,然后单击立即处理

        如果多个实例中存在相同告警,您可以选择同时处理相同告警,批量处理各实例中的相同告警。忽略告警

        重要

        忽略方式处理的告警,依旧会显示在可信信息页签中。并且,由于云安全中心会周期性产生安全告警,该告警会持续产生。这些情况会持续存在,直到您重新启动系统并通过校验为止。

    • 场景二:近期进行了系统升级或维护操作,检查修复后加白名单。

      如果近期进行过系统升级或维护操作,则升级或维护后的系统状态应成为您系统的新的标准状态,启动中各环节的状态值也应成为对应PCR的新的标准值。因此,在该场景下您需要进行加白名单的操作。加白操作

      加入白名单后,安全告警中收集到的实际度量值,将转化为新的标准值。

处理未度量状态

如果在可信信息页签下显示设备处于未度量状态,表示可信实例长时间未上报有效度量结果,通常是因为可信客户端无法访问可信服务。您可以按照以下步骤排查:

  1. 排查实例RAM角色。

    • 如果您没有为可信实例设置过RAM角色,请按要求设置RAM角色。

    • 如果您已经为可信实例设置了RAM角色,请确认RAM角色是否拥有了访问可信服务所需的权限。更多信息,请参见创建可信实例

  2. 排查网络连接。

    在可信实例中运行以下命令排查网络连接情况:

    ping trusted-server-vpc.<region-id>.aliyuncs.com

    请将<region-id>替换为可信实例所在地域的ID,如果运行命令后有返回值则说明网络连接正常。

  3. 排查安全组设置。

    请检查可信实例所属安全组的设置,确认没有禁止访问trusted-server-vpc.[region-id].aliyuncs.com

  4. 排查客户端工作状态。

    执行systemctl status t-trustclient查看客户端状态,如果状态不为running,请执行systemctl restart t-trustclient重启客户端。