認證程序可建立對機密運算的信任感。認證機制可做為數位驗證機制,確保機密資料只會在經過嚴格審查的硬體式受信任執行環境 (TEE) 中處理。
Google Cloud 驗證提供統一的解決方案,可遠端驗證所有 Google 機密環境的可靠性。這項服務支援機密環境的認證,並以 SEV 的虛擬信任平台模組 (vTPM) 和 Intel TDX 的 TDX 模組為後盾。
Google Cloud 認證可套用至下列 Google Cloud服務:
| 機密運算服務 | 機密運算技術 | 支援 Google Cloud Attestation |
|---|---|---|
| 機密 VM | AMD SEV | |
| AMD SEV-SNP | ||
| Intel TDX | ||
| 機密空間 | AMD SEV | |
| Intel TDX | ||
| 機密 GKE 節點 | AMD SEV |
雖然 Google Cloud 驗證很方便,但開放原始碼工具也可以直接為機密 VM 執行個體取得驗證報告。詳情請參閱「要求認證報告」。
Google Cloud 驗證的運作方式
Google Cloud 認證會直接向硬體供應商收集認可,並維護專為各機密環境量身打造的一組參考值和評估政策。這項服務提供 API,供 Google Cloud 使用者擷取認證結果聲明權杖。
Google Cloud 驗證會從機密環境收集資訊,並根據核准的值和 Google 維護的政策進行檢查。這些檢查會轉換為可驗證的聲明,並遵守 IETF 遠端認證程序 (RATS) 實體認證權杖 (EAT) 標準。接著,Google Cloud 驗證會提供這些聲明的加密證明,供依據這類聲明的服務使用,例如 Secret Manager 和 Google Identity and Access Management (IAM)。
您可以透過下列方式驗證加密證明:
使用公開金鑰。詳情請參閱「OIDC 權杖」。這個選項較為簡單,可與 OIDC 相容應用程式原生搭配使用。
使用根憑證。詳情請參閱「PKI 權杖」。這個選項可離線驗證,不需要每個信賴方探索驗證金鑰。如需離線驗證的端對端範例,請參閱「Use Confidential Space with protected resources that aren't stored with a cloud provider」程式碼研究室。
RATS 架構總覽
遠端認證程序 (RATS) 架構包含下列主要實體:
認證者:提供可信度證據的實體。在 Google Cloud中,這是機密環境 (例如機密 VM、機密 GKE 節點或 Confidential Space)。
驗證者:負責評估證據並產生認證結果的實體。這是 Google Cloud Attestation。
憑證授權方:依據認證結果做出決策的實體 (例如行動應用程式、儲存空間值區或金鑰管理系統)。
RATS 架構包含下列主要角色:
信賴方擁有者:為信賴方設定評估政策的實體。
驗證者擁有者:為驗證者設定評估政策的實體 (例如 Google)。
背書者:提供背書的實體,用來驗證認證者的功能 (例如 AMD、Intel 或 NVIDIA 等硬體 OEM)。
參考值供應商:實體會提供參考值,供驗證者驗證認證者的聲明。
與 Confidential Space 搭配使用時,Google Cloud Attestation 會採用護照模型。不過,視您設定驗證者和信賴方的做法而定,Google Cloud Attestation 也可以整合至背景檢查模型。