אימות הוא התהליך שבו נוצר אמון במחשוב חסוי. אימות (attestation) פועל כמנגנון אימות דיגיטלי, שמבטיח שנתונים סודיים יעברו עיבוד רק בתוך סביבות מחשוב אמינות (TEE) שמבוססות על חומרה ועברו בדיקה קפדנית.
אימות ב-Google Cloud מספק פתרון מאוחד לאימות מרחוק של מהימנות כל הסביבות הסודיות של Google. השירות תומך באימות (attestation) של סביבות סודיות שמגובות על ידי מודול פלטפורמה וירטואלית מהימנה (vTPM) עבור SEV ומודול TDX עבור Intel TDX.
אפשר להשתמש ב-Google Cloud Attestation בשירותים הבאים: Google Cloud
| שירות Confidential Computing | טכנולוגיית Confidential Computing | תמיכה ב-Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| AMD SEV-SNP | ||
| Intel TDX | ||
| Confidential Space | AMD SEV | |
| Intel TDX | ||
| Confidential GKE Nodes | AMD SEV |
אמנם Google Cloud Attestation הוא נוח, אבל אפשר גם להשתמש בכלים בקוד פתוח כדי לקבל דוחות אימות ישירות עבור מכונות וירטואליות מסוג Confidential VM. מידע נוסף זמין במאמר בנושא בקשת דוח אישור.
איך פועל Google Cloud Attestation
Google Cloud Attestation אוסף באופן פנימי המלצות ישירות מספקי חומרה, ומקיים מערכת משלו של ערכי הפניה ומדיניות הערכה שמותאמים במיוחד לכל סביבה חסויה. היא מספקת ממשקי API למשתמשים כדי לאחזר טוקנים של הצהרות על תוצאות אימות. Google Cloud
Google Cloud Attestation אוסף מידע מהסביבה הסודית שלכם ומשווה אותו לערכים מאושרים ולמדיניות שתחזוקתם מתבצעת על ידי Google. הבדיקות האלה מומרות לטענות שניתנות לאימות ועומדות בתקן IETF Remote ATtestation ProcedureS (RATS) Entity Attestation Token (EAT). לאחר מכן, Google Cloud Attestation מספק הוכחות מוצפנות לטענות האלה, שאפשר להשתמש בהן בשירותים שמסתמכים על טענות כאלה, כמו Secret Manager וניהול הזהויות והגישה (IAM) של Google.
אפשר לאמת את ההוכחות הקריפטוגרפיות בדרכים הבאות:
שימוש במפתח ציבורי. מידע נוסף זמין במאמר בנושא אסימוני OIDC. זו האפשרות הפשוטה יותר, והיא פועלת באופן טבעי עם אפליקציות שתואמות ל-OIDC.
שימוש באישור בסיס. מידע נוסף זמין במאמר בנושא אסימוני PKI. האפשרות הזו מאפשרת אימות אופליין, בלי שכל צד מסתמך יצטרך לגלות את מפתח האימות. דוגמה מלאה לאימות אופליין מופיעה בשיעור ה-Codelab בנושא שימוש ב-Confidential Space עם משאבים מוגנים שלא מאוחסנים אצל ספק שירותי ענן.
סקירה כללית של ארכיטקטורת RATS
ארכיטקטורת Remote ATtestation ProcedureS (RATS) כוללת את הישויות העיקריות הבאות:
גורם מאשר: ישות שמספקת הוכחה למהימנות שלה. ב-Google Cloud, זו סביבה סודית (לדוגמה, Confidential VM, Confidential GKE Nodes או Confidential Space).
בודק: ישות שמעריכה את הראיות ומפיקה תוצאות אישור. זהו Google Cloud Attestation.
צד נסמך: ישות שמסתמכת על תוצאות האימות כדי לקבל החלטות (לדוגמה, אפליקציה לנייד, קטגוריית אחסון או מערכת לניהול מפתחות).
ארכיטקטורת RATS כוללת את התפקידים העיקריים הבאים:
הבעלים של הצד הנסמך: ישות שמגדירה את מדיניות ההערכה עבור הצד הנסמך.
הבעלים של המאמת: ישות שמגדירה את מדיניות ההערכה של המאמת (למשל, Google).
גורם מאשר: ישות שמספקת אישורים לאימות היכולות של הגורם המעיד (לדוגמה, יצרני ציוד מקורי של חומרה כמו AMD, Intel או NVIDIA).
ספק ערכי ההפניה: ישות שמספקת ערכי הפניה כדי שהמאמת יוכל לאמת את הטענות של הגורם המאשר.
כשמשתמשים ב-Google Cloud Attestation בשילוב עם Confidential Space, המערכת משתמשת במודל הדרכון. עם זאת, בהתאם לאופן שבו הגדרתם את הגורם המאשר ואת הצד המסתמך, אפשר גם לשלב את Google Cloud Attestation במודל של בדיקת רקע.