すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:信頼済みインスタンスの使用

    ドキュメントセンター

    Elastic Compute Service:信頼済みインスタンスの使用

    最終更新日:Aug 22, 2024

    このトピックでは、仮想trusted Platform Module (vTPM) に基づく信頼できるインスタンスを使用および維持する方法について説明します。 信頼済みインスタンスを検索し、信頼済みインスタンスの信頼済みステータスを表示し、異常なインスタンスステータスを処理できます。

    インスタンスの信頼済みステータスの表示

    整合性測定ベンチマークは、インスタンスの作成時に生成されます。 後続のインスタンスブートで収集された測定値は、ベンチマーク測定値と比較され、インスタンスが変更されたかどうかが判断される。 比較結果は、インスタンスの信頼済みステータスを示し、Security Centerコンソールに表示されます。

    1. ECSコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[インスタンスとイメージ] > [インスタンス] を選択します。

    3. インスタンスページで、[タグでフィルター] をクリックし、[acs:ecs:supportVtpm] を選択して信頼できるインスタンスを検索します。

      image.png

    4. 表示する信頼できるインスタンスを見つけて、[オペレーティングシステム] 列のimage.pngアイコンをクリックします。

      Security Centerコンソールの [ホスト] ページに移動します。

    5. [信頼済み情報] タブをクリックして、インスタンスの信頼済みステータスを表示します。

      可信信息

      アセット起動の概要セクションの円は、② アセット内コンポーネントの信頼済みステータスセクションにリストされているコンポーネントとマッピングされています。 ① アセットスタートアップの概要セクションの各円の色は、対応するステージが正常かどうかを示します。

      • すべての円が緑色の場合、インスタンスの起動プロセスは正常です。 この場合、[実際の測定] 列の値 (Alibaba Cloud Trusted Systemによって収集された実際のステータス) は、[標準値] 列の値と同じです。

      • インスタンスの起動プロセス中にある段階でエラーが発生した場合、対応する円は赤に変わり、後続の円は灰色に変わります。 [アラート] タブでステージの詳細情報を表示し、例外を修正できます。 詳細については、このトピックの「信頼例外の処理」セクションをご参照ください。

      説明

      [信頼済み情報] タブに「お使いのデバイスが未測定状態」に似たエラーメッセージが表示された場合、信頼済みインスタンスが有効な測定値を長期間報告していないことを示します。 この場合、インスタンスに関する詳細な信頼情報はSecurity Centerコンソールに表示されません。 この問題を解決する方法については、このトピックの「未測定状態の処理」を参照してください。

      プラットフォーム構成レジスタ (PCR) は、信頼できるセキュリティデバイスの記憶ユニットであり、インスタンスブートプロセス中に収集されたステータス情報を確実に記憶することができる。 各PCRは、インスタンスブートプロセスの特定のステージに対応し、PCR値は、ステージにおける測定されたオブジェクトの状態を表す。 PCRに記憶された実測値が期待基準値と同じであれば、ステージは期待通りであると考えられる。 次のオブジェクトは、インスタンスブートプロセスの各段階で測定されます。

      • pcr0: 測定のための静的信頼ルート (Static Root of Trust for Measurements) (SRTM) 、BIOS、埋め込みオプションROM、およびPIドライバ。

      • pcr1:ホストプラットフォームの設定。

      • pcr2: Unified Extensible Firmware Interface (UEFI) ドライバとアプリケーションコード。

      • pcr3:UEFI ドライバー、アプリケーション設定、およびアプリケーションデータ。

      • pcr4: UEFIブート管理コード (通常はMBR) 。

      • pcr5: UEFIブート管理コード (通常はMBR) 、ブート関連データ (UEFIブート管理コードによって使用されるデータ) 、およびGUIDパーティションテーブル (GPT) パーティションテーブル。

      • pcr6 :プラットフォームの製造元によって定義された特定の UEFI ファームウェア。

      • pcr7: セキュアブートポリシー。

      • pcr8: grub.cfgなどの構成ファイルやLinuxカーネルに送信されるコマンドライン情報で提供されているように実行される重要なコマンド。 ブートメニューのタイトルを定義するために使用されるコマンドなど、重要でないコマンドは測定されません。

      • pcr9: GRand Unified Bootloader (GRUB) モジュール、Linuxカーネル、およびinitramfs。

      説明

      詳細は ISO で定義されています。 詳細については、「ISO/IEC 11889:2015信頼できるプラットフォームモジュールライブラリ」をご参照ください。

    信頼例外の処理Handle trust exceptions

    インスタンスの起動プロセス中にある段階でエラーが発生した場合、[信頼済み情報] タブの対応する円が赤に変わります。 [アラート] タブに移動して、詳細なアラート情報を表示し、例外を修正する必要があります。

    1. [アラート] タブをクリックして、[アラートタイプ][信頼できる例外] に設定します。

      image.png

    2. アラート情報の右側に表示される [詳細] クリックして、詳細なエラー情報を表示します。

      説明

      アラートが処理されない場合、アラートは定期的に発生しますが、例外に対するアラートは生成されません。 [last occurred At] 列には、アラートが最後に発生した時刻のみが表示されます。

    3. システム管理者に連絡して、オペレーティングシステムカーネルのアップグレード、オペレーティングシステムのブートパラメーターの変更、初期ファイルシステム (initramfs) の変更など、システムのアップグレードおよびメンテナンス操作が最近実行されたかどうかを確認してください。 次に、実際の状況に基づいてさまざまな対策を講じて例外を修正します。

      • シナリオ1: システムのアップグレードまたはメンテナンス操作が最近実行されていない場合は、例外を確認して修正した後、アラートを無視します。

        このシナリオでは、インスタンスでセキュリティイベントが発生したためにアラートが発生する場合があります。 たとえば、ルートキットやブートキットなどのマルウェアによってインスタンスが破損しています。 システム管理者に連絡して、インスタンスの詳細なチェックを実行し、例外を修正してから、アラートを無視することを推奨します。 以下の手順を実行します。

        1. Security Center コンソールで、ウイルス対策 および 脆弱性 機能を有効化します。 次に、ウイルスライブラリを最新バージョンにアップグレードし、システム内のマルウェアをチェックしてから、脆弱性を修正するか、マルウェアを削除します。

        2. [アラート] タブで [処理] をクリックします。

        3. [無視] を選択し、[直ちに処理] をクリックします。

          複数のインスタンスでアラートが生成されている場合は、[同じアラームを同時に処理] を選択して、インスタンスで同じアラートを一度に処理できます。

          重要

          無視されたアラートは、[信頼済み情報] タブに表示されます。 セキュリティセンターでは定期的にセキュリティアラートが生成されるため、無視したアラートも継続的に生成されます。 これらの状況は、インスタンスを再起動して検証に合格するまで持続します。

      • シナリオ2: システムのアップグレードまたはメンテナンス操作が最近実行された場合は、例外を確認して修正した後にホワイトリストを追加します。

        システムのアップグレードまたはメンテナンスが最近行われた場合、アップグレードまたはメンテナンス後のシステムの状態は、システムの新しいベンチマーク状態になります。 インスタンスブートプロセス中の各ステージのステータス値も、対応するPCRの新しいベンチマーク値になります。 この場合、[ホワイトリストに追加] を選択する必要があります。

        収集された実際の測定値がホワイトリストに追加されると、その値が新しいベンチマーク測定値になります。

    未測定状態の対応

    [信頼済み情報] タブに「お使いのデバイスが未測定状態」に似たエラーメッセージが表示された場合、信頼済みインスタンスが有効な測定値を長期間報告していないことを示します。 ほとんどの場合、この状況は、信頼クライアントが信頼システムサービスにアクセスできないために発生します。 次の手順を実行して、問題をトラブルシューティングできます。

    1. 信頼済みインスタンスのインスタンスResource Access Management (RAM) ロールを確認します。

      • インスタンスRAMロールを信頼済みインスタンスにアタッチしていない場合は、必要なインスタンスRAMロールをインスタンスにアタッチします。

      • インスタンスRAMロールを信頼済みインスタンスにアタッチした場合は、インスタンスRAMロールが信頼済みシステムサービスにアクセスできるかどうかを確認します。 詳細については、「信頼できるインスタンスの作成」をご参照ください。

    2. ネットワーク接続を確認します。

      信頼済みインスタンスで次のコマンドを実行して、ネットワーク接続を確認します。

      ping trusted-server-vpc。<region-i d>.aliyuncs.com

      <region-id> を信頼済みインスタンスのリージョンIDに置き換えます。 コマンド出力が返された場合は、ネットワーク接続が良好であることを示します。

    3. セキュリティグループの設定を確認します。

      信頼済みインスタンスが関連付けられているセキュリティグループの設定を確認し、セキュリティグループがtrusted-server-vpc.[region-i d].aliyuncs.com] へのアクセスを拒否しないことを確認します。

    4. クライアントのステータスを確認します。

      systemctl status t-trustclientコマンドを実行して、クライアントのステータスを確認します。 クライアントの状態が実行中でない場合は、systemctl restart t-trustclientコマンドを実行してクライアントを再起動します。