L'attestazione è la procedura che stabilisce l'affidabilità del Confidential Computing. L'attestazione funge da meccanismo di verifica digitale, garantendo che i dati riservati vengano elaborati solo all'interno di Trusted Execution Environment (TEE) basati su hardware che sono stati esaminati rigorosamente.
Google Cloud Attestation fornisce una soluzione unificata per verificare da remoto l'affidabilità di tutti gli ambienti confidenziali di Google. Il servizio supporta l'attestazione di ambienti confidenziali supportati da un Virtual Trusted Platform Module (vTPM) per SEV e dal modulo TDX per Intel TDX.
Google Cloud Attestation può essere applicato ai seguenti servizi Google Cloud:
| Servizio Confidential Computing | Tecnologia di Confidential Computing | Supporto di Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| AMD SEV-SNP | ||
| Intel TDX | ||
| Confidential Space | AMD SEV | |
| Intel TDX | ||
| Confidential GKE Nodes | AMD SEV |
Sebbene Google Cloud Attestation sia conveniente, gli strumenti open source possono anche ottenere report di attestazione direttamente per le istanze Confidential VM. Per maggiori dettagli, vedi Richiedere un report di attestazione.
Come funziona Google Cloud Attestation
Google Cloud Attestation raccoglie internamente le approvazioni direttamente dai fornitori di hardware e mantiene il proprio insieme di valori di riferimento e politiche di valutazione specificamente adattati a ogni ambiente confidenziale. Fornisce API per consentire agli utenti di Google Cloud recuperare i token di rivendicazione dei risultati dell'attestazione.
Google Cloud Attestation raccoglie informazioni dal tuo ambiente riservato e le confronta con valori approvati e criteri gestiti da Google. Questi controlli vengono convertiti in attestazioni verificabili che rispettano lo standard IETF Remote ATtestation ProcedureS (RATS) Entity Attestation Token (EAT). Poi, Google Cloud Attestation fornisce prove crittografiche di queste attestazioni che possono essere utilizzate da servizi che si basano su tali attestazioni, come Secret Manager e Google Identity and Access Management (IAM).
Le prove crittografiche possono essere convalidate nei seguenti modi:
Utilizzo di una chiave pubblica. Per maggiori informazioni, consulta la pagina Token OIDC. Questa è l'opzione più semplice e funziona in modo nativo con le applicazioni compatibili con OIDC.
Utilizzo di un certificato radice. Per maggiori informazioni, consulta la sezione Token PKI. Questa opzione consente la verifica offline, senza la necessità che ogni relying party scopra la chiave di verifica. Per un esempio end-to-end di convalida offline, consulta il codelab Utilizzare Confidential Space con risorse protette non archiviate con un provider cloud.
Panoramica dell'architettura RATS
L'architettura delle procedure di attestazione remota (RATS) coinvolge le seguenti entità principali:
Attestatore: una persona giuridica che fornisce prove della sua affidabilità. In Google Cloud, questo è un ambiente confidenziale (ad esempio Confidential VM, Confidential GKE Node o Confidential Space).
Verificatore: un'entità che valuta le prove e genera i risultati dell'attestazione. Si tratta di Google Cloud Attestation.
Parte terza: un'entità che si basa sui risultati dell'attestazione per prendere decisioni (ad esempio, un'app mobile, un bucket di archiviazione o un sistema di gestione delle chiavi).
L'architettura RATS comprende i seguenti ruoli chiave:
Proprietario della relying party: un'entità che configura la policy di valutazione per la relying party.
Proprietario del verificatore: un'entità che configura le norme di valutazione per il verificatore (ad esempio, Google).
Entità che fornisce approvazioni che convalidano le capacità dell'attestatore (ad esempio, OEM hardware come AMD, Intel o NVIDIA).
Fornitore di valori di riferimento: un'entità che fornisce valori di riferimento per consentire al verificatore di convalidare le attestazioni dell'attestatore.
Se utilizzato in combinazione con Confidential Space, Google Cloud Attestation utilizza il modello di passaporto. Tuttavia, a seconda di come hai configurato l'attestatore e la relying party, l'attestazione Google Cloud può essere integrata anche in un modello di controllo in background.