本文介绍如何使用和运维安全增强型实例,包括快速筛选实例、查看实例可信状态、处理相关状态异常等操作。

筛选安全增强型实例

安全增强型实例带有特定标签acs:ecs:supportVtpm,如果您在某一地域下实例数量较多,可以通过标签筛选。

实例列表页,单击标签,并选中acs:ecs:supportVtpm标签筛选2

查看实例的可信状态

创建实例时会启动度量基准,与后续实例启动的度量值进行比较,以确定该实例是否有任何更改,并将度量结果(即是否可信的状态)呈现在云安全中心控制台。

  1. 在ECS控制台的实例列表页或实例详情页中,找到并单击可信状态的图标。
    系统会自动跳转到云安全中心控制台的资产中心查看可信状态
    说明 如果在实例详情页中将鼠标悬浮至可信状态图标后显示未度量,表示安全增强型实例长时间未上报有效度量结果,这时云安全中心控制台也不会展示详细的可信信息。关于如何处理未度量情况,请参见处理未度量状态
  2. 单击可信信息页签,查看实例的可信状态。
    可信信息
    资产启动概况区域中的圆圈与②资产中组件可信状态区域中的组件列表一一对应。①资产启动概况区域中圆圈的颜色代表了该环节是否正常:
    • 如果圆圈全部是绿色,代表实例启动过程是正常的。相应的,实际度量值(即,系统可信功能收集到的实际状态)和标准值都一致。
    • 如果启动过程中某一环节出错,则对应的圆圈会变为红色,其后的圆圈变为灰色。您可以在安全告警处理页签中查看该环节的具体信息,并尝试修复,具体操作请参见处理可信异常
    pcr即平台配置寄存器(Platform Configuration Register),是可信安全设备的存储单元,能够可靠地存储启动过程中收集的状态信息。每个pcr对应启动过程中的一个特定环节,pcr值表征各环节中度量对象的状态。如果pcr中存储的实际度量值与预期的标准值一致,则认为该环节符合预期。每个环节中度量的对象如下:
    • pcr0:表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。
    • pcr1:表征主机平台配置。
    • pcr2:表征UEFI驱动、应用代码。
    • pcr3:表征UEFI驱动、应用配置、应用数据。
    • pcr4:表征UEFI启动管理代码(通常是MBR)。
    • pcr5:表征UEFI启动管理代码(通常是MBR)、启动相关数据(由UEFI启动管理代码使用的数据)、GPT分区表。
    • pcr6:表征平台生产厂商定义的特定UEFI固件。
    • pcr7:表征安全启动策略。
    • pcr8:表征在grub.cfg等配置文件中规定执行的关键命令(不会度量非关键命令,例如定义启动菜单标题的命令),以及传递给Linux内核的命令行信息。
    • pcr9:表征GRUB模块、Linux内核和initramfs。
    说明 ISO提供了详细的定义,具体信息,请参见ISO国际标准ISO/IEC 11889:2015 Trusted Platform Module Library

处理可信异常

如果启动过程中某一环节出错,则可信信息页签下对应的圆圈会变为红色,您需要前往安全告警处理页签查看详细告警信息并修复异常状态。

  1. 单击安全告警处理页签,选择告警类型可信异常
    选择告警类型
  2. 在告警信息的右侧,单击详情查看具体报错信息。
    可信异常
    说明 如果安全告警信息一直未处理,会周期性提示,但不会产生多条告警信息,只在最近发生时间显示最近一次告警的时间。
    以下示例中,告警内容为pcr9发生异常。异常详情
  3. 联系系统管理人员,确认近期是否进行过系统升级与维护操作,例如升级操作系统内核、改变操作系统启动参数以及修改初始文件系统(initramfs)等,然后根据不同情况采取不同方式来修复可信异常。
    • 场景一:近期没有进行系统升级或维护操作,检查修复后忽略告警。

      该场景下出现异常告警,可能是因为您的实例发生了安全事件,例如受到RootKit或BootKit等恶意软件的破坏。建议您与系统管理人员深入检查系统和修复相关异常,然后忽略告警。操作步骤如下:

      1. 建议您开启和使用云安全中心的病毒防御漏洞修复功能,然后升级最新病毒库,检查当前系统内的恶意软件情况,并最终修复系统。
      2. 安全告警处理页签,单击处理
      3. 选择忽略,然后单击立即处理
        如果多个实例中存在相同告警,您可以选择同时处理相同告警,批量处理各实例中的相同告警。忽略告警
        注意忽略方式处理的告警,依旧会显示在可信信息页签中。并且,由于云安全中心会周期性产生安全告警,该告警会持续产生。这些情况会持续存在,直到您重新启动系统并通过校验为止。
    • 场景二:近期进行了系统升级或维护操作,检查修复后加白名单。
      如果近期进行过系统升级或维护操作,则升级或维护后的系统状态应成为您系统的新的标准状态,启动中各环节的状态值也应成为对应pcr的新的标准值。因此,该场景下你需要进行加白名单操作。加白操作

      加白名单后,安全告警中收集到的实际度量值,将转化为新的标准值。

处理未度量状态

如果在实例详情页中将鼠标悬浮至可信状态图标后显示未度量,表示安全增强型实例长时间未上报有效度量结果,通常是因为可信客户端无法访问可信服务,您可以按照以下步骤排查:
  1. 排查实例RAM角色。

    如果您没有为安全增强型实例设置过RAM角色,请按要求设置RAM角色。如果您已经为安全增强型实例设置了RAM角色,请确认RAM角色是否拥有了访问可信服务所需的权限。更多信息,请参见创建安全增强型实例

  2. 排查网络连接。
    在安全增强型实例中运行以下命令排查网络连接情况:
    ping trusted-server-vpc.[region-id].aliyuncs.com

    请将[region-id]替换为安全增强型实例所在地域的ID,如果运行命令后有返回值则说明网络连接正常。

  3. 排查安全组设置。

    请检查安全增强型实例所属安全组的设置,确认没有禁止访问trusted-server-vpc.[region-id].aliyuncs.com。