L'attestation est le processus qui établit la confiance dans le calcul confidentiel. L'attestation sert de mécanisme de validation numérique. Elle garantit que les données confidentielles ne sont traitées que dans des environnements d'exécution sécurisés (TEE) basés sur le matériel et rigoureusement vérifiés.
Google Cloud Attestation fournit une solution unifiée pour vérifier à distance la fiabilité de tous les environnements confidentiels Google. Le service est compatible avec l'attestation des environnements confidentiels reposant sur un module vTPM (Virtual Trusted Platform Module) pour SEV et sur le module TDX pour Intel TDX.
L'attestation Google Cloud peut être appliquée aux services Google Cloudsuivants :
| Service d'informatique confidentielle | Technologie d'informatique confidentielle | Compatibilité avec Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| AMD SEV-SNP | ||
| Intel TDX | ||
| Confidential Space | AMD SEV | |
| Intel TDX | ||
| Nœuds Confidential GKE Node | AMD SEV |
Bien que l'attestation Google Cloud soit pratique, les outils Open Source peuvent également obtenir des rapports d'attestation directement pour les instances Confidential VM. Pour en savoir plus, consultez Demander un rapport d'attestation.
Fonctionnement de Google Cloud Attestation
Google Cloud Attestation collecte en interne des approbations directement auprès des fournisseurs de matériel et respecte son propre ensemble de valeurs de référence et de règles d'évaluation spécifiquement adaptées à chaque environnement confidentiel. Il fournit des API aux utilisateurs Google Cloud pour récupérer les jetons de revendications de résultats d'attestation.
L'attestation Google Cloud collecte des informations à partir de votre environnement confidentiel et les compare à des valeurs approuvées et à des règles gérées par Google. Ces vérifications sont converties en revendications vérifiables qui respectent la norme IETF Remote ATtestation ProcedureS (RATS) Entity Attestation Token (EAT). Google Cloud Attestation fournit ensuite des preuves cryptographiques de ces revendications, qui peuvent être utilisées par les services qui s'appuient sur ces revendications, tels que Secret Manager et Google Identity and Access Management (IAM).
Les preuves cryptographiques peuvent être validées de différentes manières :
Utiliser une clé publique. Pour en savoir plus, consultez Jetons OIDC. Il s'agit de l'option la plus simple, qui fonctionne de manière native avec les applications compatibles avec OIDC.
Utiliser un certificat racine. Pour en savoir plus, consultez Jetons PKI. Cette option permet la validation hors connexion, sans que chaque partie de confiance ait besoin de découvrir la clé de validation. Pour obtenir un exemple de bout en bout de validation hors connexion, consultez l'atelier de programmation Utiliser Confidential Space avec des ressources protégées qui ne sont pas stockées chez un fournisseur de services cloud.
Présentation de l'architecture RATS
L'architecture RATS (Remote ATtestation ProcedureS) implique les principales entités suivantes :
Attestateur : entité fournissant des preuves de sa fiabilité. DansGoogle Cloud, il s'agit d'un environnement confidentiel (par exemple, Confidential VM, Confidential GKE Nodes ou Confidential Space).
Validateur : entité qui évalue les preuves et génère les résultats de l'attestation. Il s'agit de l'attestation Google Cloud.
Partie de confiance : entité qui s'appuie sur les résultats de l'attestation pour prendre des décisions (par exemple, une application mobile, un bucket de stockage ou un système de gestion des clés).
L'architecture RATS englobe les rôles clés suivants :
Propriétaire de la partie de confiance : entité qui configure la règle d'évaluation pour la partie de confiance.
Propriétaire du vérificateur : entité qui configure la règle d'évaluation pour le vérificateur (par exemple, Google).
Endosseur : entité fournissant des approbations validant les capacités de l'attestataire (par exemple, les OEM matériels tels qu'AMD, Intel ou NVIDIA).
Fournisseur de valeurs de référence : entité fournissant des valeurs de référence au vérificateur pour valider les affirmations de l'attesteur.
Lorsqu'elle est utilisée en combinaison avec Confidential Space, l'attestation Google Cloud utilise le modèle de passeport. Toutefois, selon la façon dont vous avez configuré votre attestateur et votre partie de confiance, Google Cloud Attestation peut également être intégré à un modèle de vérification des antécédents.