vTPM ベースの信頼できるインスタンスを検索し、Security Center でその信頼ステータスを確認し、信頼性の例外または未測定状態を処理します。
インスタンスの信頼ステータスの確認
インスタンスの作成時に完全性測定の基準値が生成されます。以降の起動時には、収集された測定値がこの基準値と比較されます。比較結果は信頼ステータスを示し、Security Center コンソールに表示されます。
ECS コンソール - インスタンスに移動します。
上部メニューで、対象リソースのリージョンとリソースグループを選択します。
-
「インスタンス」ページで、[タグでフィルター] をクリックし、[acs:ecs:supportVtpm] を選択して、信頼できるインスタンスをフィルターします。

-
対象の信頼できるインスタンスを見つけ、オペレーティングシステム 列の
アイコンをクリックします。セキュリティセンターコンソールの [ホスト] ページにリダイレクトされます。
-
[信頼情報] タブをクリックして、信頼ステータスを表示できます。

① [アセット起動概要] セクションの円は、② [アセット内のコンポーネントの信頼ステータス] セクションのコンポーネントに対応します。① [アセット起動概要] セクションの各円の色は、ステージが正常であるかどうかを示します。
-
すべて緑色: 起動プロセスは正常です。[実測値] が [標準値] と一致します。
-
ステージが赤色の場合、そのステージでエラーが発生したことを意味します。後続の円はグレーに変わります。[アラート] タブで詳細を確認し、例外を修正してください。「信頼例外の処理」をご参照ください。
説明[信頼できる情報] タブに「[お使いのデバイスは未測定状態です]」と表示される場合、インスタンスが長期間にわたって有効な測定値を報告しておらず、詳細な信頼情報が表示されません。 詳細については、「未測定状態への対処」をご参照ください。
プラットフォーム構成レジスタ (PCR) は、信頼されたセキュリティデバイス内のストレージユニットで、起動プロセス中に収集されたステータス情報を保存します。各 PCR は起動ステージに対応し、その値は測定対象のステータスを表します。実際の PCR 値が期待される基準値と一致する場合、そのステージは正常と見なされます。各起動ステージで測定されるオブジェクトは次のとおりです。
-
pcr0:SRTM、BIOS、組み込みオプション ROM、および PI ドライバー。
-
pcr1:ホストプラットフォーム構成。
-
pcr2:UEFI ドライバーおよびアプリケーションコード。
-
pcr3:UEFI ドライバー、アプリケーション構成、およびアプリケーションデータ。
-
pcr4:UEFI ブート管理コード (通常は MBR)。
-
pcr5:UEFI ブート管理コード (通常は MBR)、ブート関連データ (UEFI ブート管理コードによって使用)、および GPT パーティションテーブル。
-
pcr6:プラットフォーム製造元固有の UEFI ファームウェア。
-
pcr7:セキュアブートポリシー。
-
pcr8:grub.cfg などの構成ファイルからの重要なコマンド、および Linux カーネルに渡されるコマンドライン情報。ブートメニューのタイトル定義などの重要でないコマンドは測定されません。
-
pcr9:GRUB モジュール、Linux カーネル、および initramfs。
説明詳細な定義については、「ISO/IEC 11889:2015 Trusted Platform Module Library」をご参照ください。
-
信頼性の例外の処理
ブートステージが失敗した場合、[信頼できる情報] タブの円が赤色に変わります。[アラート] タブに移動してアラートの詳細を表示し、例外を修正してください。
-
[アラート] タブをクリックし、[アラートタイプ] を [信頼できる例外] に設定します。

-
エラー詳細を表示するには、アラートの右側にある詳細をクリックします。
説明未処理のアラートは定期的に発生しますが、同じ例外に対しては新しいアラートは生成されません。[最終発生時刻] 列には、その最後の発生時刻のみが表示されます。
-
システム管理者に連絡して、OS カーネルのアップグレード、ブートパラメータの変更、initramfs の変更など、最近のシステムアップグレードまたはメンテナンス操作が実行されたかどうかを確認します。その後、結果に基づいて次のいずれかの操作を実行します。
-
シナリオ1:最近のシステムアップグレードまたはメンテナンスがない場合 — 確認後にアラートを無視
ルートキットやブートキットマルウェアなどのセキュリティイベントがインスタンスで発生した可能性があります。システム管理者に連絡して詳細なチェックを実行し、例外を解消してから、アラートを無視してください。
-
Security Center コンソールで、[アンチウイルス] と [脆弱性] の機能を有効にします。ウイルスライブラリをアップグレードし、マルウェアをスキャンして、検出された脆弱性を修正します。
-
[アラート] タブで、プロセス をクリックします。
-
無視 を選択し、ビュー をクリックします。
複数のインスタンスで同じアラームに同時に対応するには、[同じアラームに同時に対応する] を選択します。
重要無視 アラートは [信頼済み情報] タブに残ります。 Security Center は、インスタンスが再起動されて検証に合格するまで、定期的にアラートを生成し続けます。
-
-
シナリオ2:最近のシステムアップグレードまたはメンテナンスがある場合 — 確認後にホワイトリストに追加
システムのアップグレードまたはメンテナンス後、アップグレード後のステータスが新しいベンチマークになります。各起動段階での PCR 値も新しいベンチマーク値になります。[ホワイトリストに追加] を選択します。
ホワイトリストに登録された実測値が新しい基準値になります。
-
未測定状態の処理
[信頼できる情報] タブに [お使いのデバイスは未測定状態です] と表示されている場合、トラステッドインスタンスは長期間にわたって有効な測定値を報告していません。これは通常、トラストクライアントが Trusted System サービスにアクセスできないために発生します。次のようにトラブルシューティングします。
-
インスタンス RAM ロールを確認してください。
-
インスタンス RAM ロールがアタッチされていない場合は、必要なロールをアタッチしてください。
-
インスタンス RAM ロールがアタッチされている場合は、Trusted System サービスにアクセスできることを確認してください。詳細については、「信頼できるインスタンスの作成」をご参照ください。
-
-
ネットワーク接続性を確認してください。
信頼できるインスタンスでネットワーク接続性を確認してください。
ping trusted-server-vpc.<region-id>.aliyuncs.com<region-id> を信頼できるインスタンスのリージョン ID に置き換えてください。応答がある場合は、接続が正常であることを示します。
-
セキュリティグループの設定を確認してください。
信頼できるインスタンスに関連付けられているセキュリティグループが
trusted-server-vpc.<region-id>.aliyuncs.comへのアクセスを拒否していないことを確認してください。 -
クライアントのステータスを確認してください。
systemctl status t-trustclientを実行して、クライアントのステータスを確認してください。クライアントがrunning状態でない場合は、systemctl restart t-trustclientを実行して再起動してください。