全部產品
Search

搜尋本產品

    Elastic Compute Service:使用可信執行個體

    文件中心

    Elastic Compute Service:使用可信執行個體

    更新時間:Jun 19, 2024

    本文介紹如何使用和營運基於vTPM的可信執行個體,包括快速篩選執行個體、查看執行個體可信狀態、處理相關狀態異常等操作。

    查看執行個體的可信狀態

    建立執行個體時會啟動度量基準,與後續執行個體啟動的度量值進行比較,以確定該執行個體是否有任何更改,並將度量結果(即是否可信的狀態)呈現在Security Center控制台。

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 在執行個體列表頁面,單擊標籤篩選,選擇acs:ecs:supportVtpm標籤,篩選可信執行個體。

      image.png

    4. 單擊要查看的可信執行個體作業系統列的image.png表徵圖。

      系統會自動跳轉到Security Center控制台的主機資產

    5. 單擊可信資訊頁簽,查看執行個體的可信狀態。

      可信資訊

      資產啟動概況地區中的圓圈與②資產中組件可信狀態地區中的組件列表一一對應。①資產啟動概況地區中圓圈的顏色代表了該環節是否正常:

      • 如果圓圈全部是綠色,代表執行個體啟動過程是正常的。相應的,實際度量值(即,系統可信功能收集到的實際狀態)和標準值都一致。

      • 如果啟動過程中某一環節出錯,則對應的圓圈會變為紅色,其後的圓圈變為灰色。您可以在安全警示處理頁簽中查看該環節的具體資訊,並嘗試修複。具體操作,請參見處理可信異常

      說明

      如果在可信資訊頁簽下顯示裝置處於未度量狀態,表示可信執行個體長時間未上報有效度量結果,這時Security Center控制台也不會展示詳細的可信資訊。關於如何處理未度量情況,請參見處理未度量狀態

      PCR即平台配置寄存器(Platform Configuration Register),是可信安全裝置的儲存單元,能夠可靠地儲存啟動過程中收集的狀態資訊。每個PCR對應啟動過程中的一個特定環節,PCR值表徵各環節中度量對象的狀態。如果PCR中儲存的實際度量值與預期的標準值一致,則認為該環節符合預期。每個環節中度量的對象如下:

      • pcr0:表徵SRTM、BIOS、嵌入式可選ROM、PI驅動等。

      • pcr1:表徵主機平台配置。

      • pcr2:表徵UEFI驅動、應用代碼。

      • pcr3:表徵UEFI驅動、應用配置、應用資料。

      • pcr4:表徵UEFI啟動管理代碼(通常是MBR)。

      • pcr5:表徵UEFI啟動管理代碼(通常是MBR)、啟動相關資料(由UEFI啟動管理代碼使用的資料)、GPT分區表。

      • pcr6:表徵平台生產廠商定義的特定UEFI韌體。

      • pcr7:表徵安全啟動策略。

      • pcr8:表徵在grub.cfg等設定檔中規定執行的關鍵命令(不會度量非關鍵命令,例如定義啟動功能表標題的命令),以及傳遞給Linux核心的命令列資訊。

      • pcr9:表徵GRUB模組、Linux核心和initramfs。

      說明

      ISO提供了詳細的定義,具體資訊,請參見ISO國際標準《ISO/IEC 11889:2015 Trusted Platform Module Library》

    處理可信異常

    如果啟動過程中某一環節出錯,則可信資訊頁簽下對應的圓圈會變為紅色,您需要前往安全警示處理頁簽查看詳細警示資訊並修複異常狀態。

    1. 單擊安全警示處理頁簽,選擇警示類型可信異常

      image.png

    2. 在警示資訊的右側,單擊詳情查看具體報錯資訊。

      說明

      如果安全警示資訊一直未處理,會周期性提示,但不會產生多條警示資訊,只在最近發生時間顯示最近一次警示的時間。

    3. 聯絡系統管理人員,確認近期是否進行過系統升級與維護操作,例如升級作業系統核心、改變作業系統啟動參數以及修改初始檔案系統(initramfs)等,然後根據不同情況採取不同方式來修複可信異常。

      • 情境一:近期沒有進行系統升級或維護操作,檢查修複後忽略警示。

        該情境下出現異常警示,可能是因為您的執行個體發生了安全事件,例如受到RootKit或BootKit等惡意軟體的破壞。建議您與系統管理人員深入檢查系統和修複相關異常,然後忽略警示。操作步驟如下:

        1. 建議您開啟和使用Security Center的病毒防禦漏洞修複功能,然後升級最新病毒庫,檢查當前系統內的惡意軟體情況,並最終修複系統。

        2. 安全警示處理頁簽,單擊處理

        3. 選擇忽略,然後單擊立即處理

          如果多個執行個體中存在相同警示,您可以選擇同時處理相同警示,批量處理各執行個體中的相同警示。

          重要

          忽略方式處理的警示,依舊會顯示在可信資訊頁簽中。並且,由於Security Center會周期性產生安全警示,該警示會持續產生。這些情況會持續存在,直到您重新啟動系統並通過校正為止。

      • 情境二:近期進行了系統升級或維護操作,檢查修複後加白名單。

        如果近期進行過系統升級或維護操作,則升級或維護後的系統狀態應成為您系統的新的標準狀態,啟動中各環節的狀態值也應成為對應PCR的新的標準值。因此,在該情境下您需要進行加白名單的操作。

        加入白名單後,安全警示中收集到的實際度量值,將轉化為新的標準值。

    處理未度量狀態

    如果在可信資訊頁簽下顯示裝置處於未度量狀態,表示可信執行個體長時間未上報有效度量結果,通常是因為可信用戶端無法訪問可信服務。您可以按照以下步驟排查:

    1. 排查執行個體RAM角色。

      • 如果您沒有為可信執行個體設定過RAM角色,請按要求設定RAM角色。

      • 如果您已經為可信執行個體設定了RAM角色,請確認RAM角色是否擁有了訪問可信服務所需的許可權。更多資訊,請參見建立可信執行個體

    2. 排查網路連接。

      在可信執行個體中運行以下命令排查網路連接情況:

      ping trusted-server-vpc.<region-id>.aliyuncs.com

      請將<region-id>替換為可信執行個體所在地區的ID,如果運行命令後有傳回值則說明網路連接正常。

    3. 排查安全性群組設定。

      請檢查可信執行個體所屬安全性群組的設定,確認沒有禁止訪問trusted-server-vpc.[region-id].aliyuncs.com

    4. 排查用戶端工作狀態。

      執行systemctl status t-trustclient查看用戶端狀態,如果狀態不為running,請執行systemctl restart t-trustclient重啟用戶端。