Declarações de atestado

assertion.dbgstat

Interage com:

• Operador de carga de trabalho: o valor --image-family.

Verifica se a imagem do Confidential Space é a versão de depuração ou de produção.

Os valores válidos são:

• enable: verifique se a imagem de depuração está sendo usada.
• disabled-since-boot: verifique se a imagem de produção está sendo usada.

Exemplos

O código a seguir verifica se a versão de depuração da imagem do Confidential Space está sendo usada:

assertion.dbgstat == "enable"

O código a seguir verifica se a versão de produção da imagem do Confidential Space está sendo usada:

assertion.dbgstat == "disabled-since-boot"

Verifica a versão de segurança da imagem de produção do Confidential Space em execução na instância de VM confidencial usando os atributos de suporte dela. As imagens de depuração do Confidential Space não têm um atributo de suporte definido.

Confira a seguir os atributos de suporte válidos:

• LATEST: essa é a versão mais recente da imagem e é compatível. A imagem LATEST também é STABLE e USABLE.
• STABLE: esta versão da imagem é compatível e monitorada em busca de vulnerabilidades. Uma imagem STABLE também é USABLE.
• USABLE: uma imagem com apenas esse atributo não tem suporte e não é mais monitorada em busca de vulnerabilidades. Use por sua conta e risco.
• EXPERIMENTAL: uma imagem com apenas esse atributo usa recursos de visualização. Ele é destinado apenas a testes e nunca deve ser usado na produção. Uma imagem EXPERIMENTAL nunca tem os atributos LATEST, STABLE ou USABLE.

Exemplo

O código a seguir verifica se uma versão estável da imagem do Confidential Space está sendo usada:

"STABLE" in assertion.submods.confidential_space.support_attributes

Verifica o software em execução na entidade de atestado. O valor é sempre CONFIDENTIAL_SPACE.

Exemplo

assertion.swname == "CONFIDENTIAL_SPACE"

Verifica a versão do software da imagem do Confidential Space. Recomendamos usar assertion.submods.confidential_space.support_attributes para acessar a versão mais recente de uma imagem.

Exemplo

int(assertion.swversion[0]) == 230103

assertion.submods.container.cmd_override

Interage com:

• Autor da carga de trabalho: a política de lançamento allow_cmd_override.
• Operador de carga de trabalho: a variável de metadados tee-cmd.

Verifica os comandos e parâmetros do CMD usados na imagem da carga de trabalho.

Exemplos

O código a seguir verifica se o CMD da imagem da carga de trabalho não foi substituído:

size(assertion.submods.container.cmd_override) == 0

O código a seguir verifica se program é o único conteúdo nas substituições do CMD:

assertion.submods.container.cmd_override == ['program']

assertion.submods.container.env

Interage com:

• Autor da carga de trabalho: a política de lançamento allow_env_override.
• Operador de carga de trabalho: a variável de metadados tee-env-ENVIRONMENT_VARIABLE_NAME .

Verifica se as variáveis de ambiente e os respectivos valores foram transmitidos explicitamente para o contêiner.

Exemplo

O código a seguir verifica se a variável de ambiente example-env-1 está definida como value-1 e example-env-2 está definida como value-2.

assertion.submods.container.env == {"example-env-1": "value-1", "example-env-2": "value-2"}

assertion.submods.container.env_override

Interage com:

• Autor da carga de trabalho: a política de lançamento allow_env_override.
• Operador de carga de trabalho: a variável de metadados tee-env-ENVIRONMENT_VARIABLE_NAME .

Verifica se o operador de carga de trabalho substituiu as variáveis de ambiente no contêiner.

Exemplos

O código a seguir verifica se o operador de carga de trabalho não substituiu a variável de ambiente example:

!has(assertion.submods.container.env_override.example)

O código a seguir verifica se o operador de carga de trabalho não substituiu nenhuma variável de ambiente:

size(assertion.submods.container.env_override) == 0

Verifica o resumo da imagem do contêiner da carga de trabalho. Especificar essa condição permite que várias partes concordem com uma carga de trabalho autorizada que tenha permissão para acessar os dados delas.

Exemplo

assertion.submods.container.image_digest == "sha256:837ccb607e312b170fac7383d7ccfd61fa5072793f19a25e75fbacb56539b86b"

Verifica o ID da imagem do contêiner da carga de trabalho.

Exemplo

assertion.submods.container.image_id == "sha256:652a44b0e911271ba07cf2915cd700fdfa50abd62a98f87a57fdebc59843d93f"

assertion.submods.container.image_reference

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-image-reference.

Verifica o local do contêiner da carga de trabalho em execução na imagem do Confidential Space.

Exemplo

assertion.submods.container.image_reference == "us-docker.pkg.dev/PROJECT_ID/WORKLOAD_CONTAINER:latest"

assertion.submods.container.image_signatures

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-signed-image-repos.

Verifica se a imagem tem uma determinada assinatura ou se foi assinada por uma chave pública e um algoritmo de assinatura. Especificar essa condição permite que várias partes concordem com uma carga de trabalho autorizada que tenha permissão para acessar os dados delas.

A declaração pode incluir os seguintes elementos:

• key_id: a impressão digital hexadecimal da chave pública. Para encontrar a impressão digital, execute o comando a seguir:

  openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

  Em que public_key.pem é sua chave pública no formato PEM.

• signature: a assinatura em um payload associado ao contêiner assinado e que segue o formato de assinatura simples.

• signature_algorithm: o algoritmo usado para assinar a chave. Opções:

  • RSASSA_PSS_SHA256 (RSASSA-PSS com um resumo SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 com um resumo SHA-256)
  • ECDSA_P256_SHA256 (ECDSA na curva P-256 com um resumo SHA-256)

Exemplo

['ECDSA_P256_SHA256:PUBLIC_KEY_FINGERPRINT'].exists(fingerprint, fingerprint in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id))

assertion.submods.container.restart_policy

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-restart-policy.

Verifica a política de reinicialização do inicializador do contêiner quando a carga de trabalho é interrompida.

Os valores válidos são:

• Never (padrão)
• Always
• OnFailure

Exemplo

assertion.submods.container.restart_policy == "Never"

assertion.google_service_accounts

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-impersonate-service-accounts e o valor --service-account .

Verifica se uma conta de serviço especificada está conectada à VM que executa a carga de trabalho ou se foi listada usando tee-impersonate-service-accounts nos metadados da VM.

Exemplo

workload-service-account@my-project.iam.gserviceaccount.com in assertion.google_service_accounts

Verifica a tecnologia de computação confidencial subjacente. As plataformas compatíveis são as seguintes:

• GCP_AMD_SEV
• INTEL_TDX

Exemplo

assertion.hwmodel == "GCP_AMD_SEV"

assertion.submods.confidential_space.monitoring_enabled

Interage com:

• Autor da carga de trabalho: a política de lançamento monitoring_memory_allow.
• Operador de carga de trabalho: a variável de metadados tee-monitoring-memory-enable.

Verifica o estado de monitoramento na entidade de atestado.

Exemplo

assertion.submods.confidential_space.monitoring_enabled.memory == true

Verifica o ID da instância de VM.

Exemplo

assertion.submods.gce.instance_id == "0000000000000000000"

Verifica o nome da instância de VM.

Exemplo

assertion.submods.gce.instance_name == "workload-vm"

Verifica se a VM está executando um projeto Google Cloud com o ID do projeto especificado.

Exemplo

assertion.submods.gce.project_id == "project-id"

Verifica se a VM está em execução em um projeto Google Cloud com o número de projeto especificado.

Exemplo

assertion.submods.gce.project_number == "00000000000"

assertion.submods.gce.zone

Interage com:

• Operador de carga de trabalho: o valor --zone.

Verifica se a VM está em execução na zona especificada.

Exemplo

assertion.submods.gce.zone == "us-central1-a"

assertion.submods.nvidia_gpu.cc_feature

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-install-gpu-driver.

Verifica os recursos de Computação confidencial compatíveis com uma GPU NVIDIA. Somente o modo de transmissão direta de GPU única (SPT) é compatível com o Confidential Space. Portanto, o valor é sempre SPT.

Para mais informações sobre o suporte à computação confidencial da NVIDIA, consulte Soluções de computação confiável da NVIDIA (PDF).

Exemplo

assertion.submods.nvidia_gpu.cc_feature == "SPT"

assertion.submods.nvidia_gpu.cc_mode

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-install-gpu-driver.

Verifica o status do driver de computação confidencial da NVIDIA. Os valores válidos são:

• OFF: nenhum dos recursos de computação confidencial da NVIDIA está ativo.
• ON: o hardware, o firmware e o software NVIDIA H100 ativaram totalmente os recursos de computação confidencial.
• DEVTOOLS: a GPU está em um modo de computação confidencial parcial que corresponde aos fluxos de trabalho do modo ON, mas desativa as proteções de segurança.

Exemplo

assertion.submods.nvidia_gpu.cc_mode == "ON"

assertion.submods.nvidia_gpu.gpus

Interage com:

• Operador de carga de trabalho: a variável de metadados tee-install-gpu-driver.

Verifica as declarações de cada GPU NVIDIA atestada. O Confidential Space só é compatível com uma reivindicação de GPU.

Um objeto gpus é semelhante a este:

{
  "hwmodel": "GCP_NVIDIA_H100",
  "ueid": "490457405999046854973671575630853621547794591064",
  "l4_serial_number": "1216669666319372030078",
  "driver_version": "570.00",
  "vbios_version": "96.00.9F.00.01"
}

Exemplos

O código a seguir verifica se o primeiro modelo de hardware de GPU é uma NVIDIA H100 em execução em Google Cloud:

assertion.submods.nvidia_gpu.gpus[0].hwmodel == "GCP_NVIDIA_H100"

O código a seguir verifica se a declaração de atestado tem declarações relacionadas à GPU:

has(assertion.submods.nvidia_gpu.gpus)