La certificación es el proceso que establece la confianza en la Computación Confidencial. La certificación actúa como un mecanismo de verificación digital que garantiza que los datos confidenciales solo se procesen dentro de entornos de ejecución confiables (TEE) basados en hardware que se hayan verificado de forma rigurosa.
La certificación de Google Cloud proporciona una solución unificada para verificar de forma remota la confiabilidad de todos los entornos confidenciales de Google. El servicio admite la certificación de entornos confidenciales respaldados por un módulo de plataforma de confianza virtual (vTPM) para SEV y el módulo TDX para Intel TDX.
La certificación de Google Cloud se puede aplicar en los siguientes servicios: Google Cloud
| Servicio de Confidential Computing | Tecnología de Confidential Computing | Compatibilidad con Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| AMD SEV-SNP | ||
| Intel TDX | ||
| Confidential Space | AMD SEV | |
| Intel TDX | ||
| Confidential GKE Nodes | AMD SEV |
Si bien la certificación de Google Cloud es conveniente, las herramientas de código abierto también pueden obtener informes de certificación directamente para las instancias de Confidential VM. Para obtener más detalles, consulta Cómo solicitar un informe de certificación.
Cómo funciona la certificación de Google Cloud
Internamente, Google Cloud Attestation recopila aprobaciones directamente de los proveedores de hardware y mantiene su propio conjunto de valores de referencia y políticas de evaluación diseñados específicamente para cada entorno confidencial. Proporciona APIs para que los usuarios de Google Cloud recuperen tokens de reclamos de resultados de certificación.
La certificación de Google Cloud recopila información de tu entorno confidencial y la compara con los valores aprobados y las políticas que mantiene Google. Estas verificaciones se convierten en reclamos verificables que cumplen con el estándar del token de atestación de entidad (EAT) de los Procedimientos de atestación remota (RATS) del IETF. Luego, la atestación de Google Cloud proporciona pruebas criptográficas de estas declaraciones que pueden usar los servicios que dependen de ellas, como Secret Manager y Identity and Access Management (IAM) de Google.
Las pruebas criptográficas se pueden validar de las siguientes maneras:
Usar una clave pública Para obtener más información, consulta Tokens de OIDC. Esta es la opción más sencilla y funciona de forma nativa con aplicaciones compatibles con OIDC.
Usar un certificado raíz Para obtener más información, consulta Tokens de PKI. Esta opción permite la verificación sin conexión, sin necesidad de que cada entidad externa descubra la clave de verificación. Para ver un ejemplo de extremo a extremo de la validación sin conexión, consulta el codelab Usa Confidential Space con recursos protegidos que no se almacenan con un proveedor de servicios en la nube.
Descripción general de la arquitectura de RATS
La arquitectura de Remote ATtestation ProcedureS (RATS) involucra las siguientes entidades principales:
Entidad certificadora: Es una entidad que proporciona evidencia de su confiabilidad. EnGoogle Cloud, este es un entorno confidencial (por ejemplo, Confidential VM, Confidential GKE Nodes o Confidential Space).
Verificador: Es una entidad que evalúa la evidencia y genera resultados de certificación. Esta es la certificación de Google Cloud.
Entidad de confianza: Es una entidad que se basa en los resultados de la certificación para tomar decisiones (por ejemplo, una app para dispositivos móviles, un bucket de almacenamiento o un sistema de administración de claves).
La arquitectura de RATS abarca los siguientes roles clave:
Propietario de la parte que confía: Es una entidad que configura la política de tasación para la parte que confía.
Propietario del verificador: Es una entidad que configura la política de valoración para el verificador (por ejemplo, Google).
Entidad de respaldo: Es una entidad que proporciona respaldos para validar las capacidades del verificador (por ejemplo, OEM de hardware como AMD, Intel o NVIDIA).
Proveedor de valores de referencia: Es una entidad que proporciona valores de referencia para que el verificador valide las declaraciones del certificador.
Cuando se usa en combinación con Confidential Space, la certificación de Google Cloud usa el modelo de pasaporte. Sin embargo, según cómo hayas configurado tu verificador y tu parte dependiente, la certificación de Google Cloud también se puede integrar en un modelo de verificación de antecedentes.