本文介绍如何使用和运维安全增强型实例,包括快速筛选实例、查看实例可信状态、处理相关状态异常等操作。
筛选安全增强型实例
安全增强型实例带有特定标签acs:ecs:supportVtpm,如果您在某一地域下实例数量较多,可以通过标签筛选。
在
实例列表页,单击
标签,并选中
acs:ecs:supportVtpm。
查看实例的可信状态
创建实例时会启动度量基准,与后续实例启动的度量值进行比较,以确定该实例是否有任何更改,并将度量结果(即是否可信的状态)呈现在云安全中心控制台。
- 在ECS控制台的实例列表页或实例详情页中,找到并单击可信状态的图标。
系统会自动跳转到云安全中心控制台的
资产中心。
说明 如果在
实例详情页中将鼠标悬浮至
可信状态图标后显示
未度量,表示安全增强型实例长时间未上报有效度量结果,这时云安全中心控制台也不会展示详细的可信信息。关于如何处理未度量情况,请参见
处理未度量状态。
- 单击可信信息页签,查看实例的可信状态。
①
资产启动概况区域中的圆圈与②
资产中组件可信状态区域中的组件列表一一对应。①
资产启动概况区域中圆圈的颜色代表了该环节是否正常:
- 如果圆圈全部是绿色,代表实例启动过程是正常的。相应的,实际度量值(即,系统可信功能收集到的实际状态)和标准值都一致。
- 如果启动过程中某一环节出错,则对应的圆圈会变为红色,其后的圆圈变为灰色。您可以在安全告警处理页签中查看该环节的具体信息,并尝试修复,具体操作请参见处理可信异常。
pcr即平台配置寄存器(Platform Configuration Register),是可信安全设备的存储单元,能够可靠地存储启动过程中收集的状态信息。每个pcr对应启动过程中的一个特定环节,pcr值表征各环节中度量对象的状态。如果pcr中存储的实际度量值与预期的标准值一致,则认为该环节符合预期。每个环节中度量的对象如下:
- pcr0:表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。
- pcr1:表征主机平台配置。
- pcr2:表征UEFI驱动、应用代码。
- pcr3:表征UEFI驱动、应用配置、应用数据。
- pcr4:表征UEFI启动管理代码(通常是MBR)。
- pcr5:表征UEFI启动管理代码(通常是MBR)、启动相关数据(由UEFI启动管理代码使用的数据)、GPT分区表。
- pcr6:表征平台生产厂商定义的特定UEFI固件。
- pcr7:表征安全启动策略。
- pcr8:表征在grub.cfg等配置文件中规定执行的关键命令(不会度量非关键命令,例如定义启动菜单标题的命令),以及传递给Linux内核的命令行信息。
- pcr9:表征GRUB模块、Linux内核和initramfs。
说明 ISO提供了详细的定义,具体信息,请参见ISO国际标准《ISO/IEC 11889:2015 Trusted Platform Module Library》。
处理可信异常
如果启动过程中某一环节出错,则可信信息页签下对应的圆圈会变为红色,您需要前往安全告警处理页签查看详细告警信息并修复异常状态。
- 单击安全告警处理页签,选择告警类型为可信异常。
- 在告警信息的右侧,单击详情查看具体报错信息。
说明 如果安全告警信息一直未处理,会周期性提示,但不会产生多条告警信息,只在最近发生时间显示最近一次告警的时间。
以下示例中,告警内容为pcr9发生异常。
- 联系系统管理人员,确认近期是否进行过系统升级与维护操作,例如升级操作系统内核、改变操作系统启动参数以及修改初始文件系统(initramfs)等,然后根据不同情况采取不同方式来修复可信异常。
处理未度量状态
如果在
实例详情页中将鼠标悬浮至
可信状态图标后显示
未度量,表示安全增强型实例长时间未上报有效度量结果,通常是因为可信客户端无法访问可信服务,您可以按照以下步骤排查:
- 排查实例RAM角色。
如果您没有为安全增强型实例设置过RAM角色,请按要求设置RAM角色。如果您已经为安全增强型实例设置了RAM角色,请确认RAM角色是否拥有了访问可信服务所需的权限。更多信息,请参见创建安全增强型实例。
- 排查网络连接。
在安全增强型实例中运行以下命令排查网络连接情况:
ping trusted-server-vpc.[region-id].aliyuncs.com
请将[region-id]替换为安全增强型实例所在地域的ID,如果运行命令后有返回值则说明网络连接正常。
- 排查安全组设置。
请检查安全增强型实例所属安全组的设置,确认没有禁止访问trusted-server-vpc.[region-id].aliyuncs.com。