La certificación es el proceso que establece la confianza en la computación confidencial. La certificación actúa como un mecanismo de verificación digital que asegura que los datos confidenciales solo se procesen en entornos de ejecución de confianza (TEEs) basados en hardware que se hayan verificado rigurosamente.
Google Cloud Attestation ofrece una solución unificada para verificar de forma remota la fiabilidad de todos los entornos confidenciales de Google. El servicio admite la atestación de entornos confidenciales respaldados por un módulo de plataforma segura virtual (vTPM) para SEV y el módulo TDX para Intel TDX.
Google Cloud Attestation se puede aplicar a los siguientes servicios: Google Cloud
| Servicio Confidential Computing | Tecnología de computación confidencial | Asistencia de Google Cloud Attestation |
|---|---|---|
| Máquina virtual confidencial | AMD SEV | |
| Máquina virtual confidencial | AMD SEV-SNP | |
| Máquina virtual confidencial | Intel TDX | |
| Espacio confidencial | AMD SEV | |
| Espacio confidencial | Intel TDX | |
| Nodos confidenciales de GKE | AMD SEV |
Aunque la atestación de Google Cloud es una opción cómoda, las herramientas de código abierto también pueden obtener informes de atestación directamente para las instancias de máquina virtual confidencial. Para obtener más información, consulta Solicitar un informe de atestación.
Cómo funciona la atestación de Google Cloud
Google Cloud Attestation recoge internamente las recomendaciones directamente de los proveedores de hardware y mantiene su propio conjunto de valores de referencia y políticas de evaluación diseñados específicamente para cada entorno confidencial. Proporciona APIs para que los usuarios de Google Cloud obtengan tokens de reclamaciones de resultados de atestación.
Google Cloud Attestation recoge información de tu entorno confidencial y la compara con valores aprobados y políticas mantenidas por Google. Estas comprobaciones se convierten en reclamaciones verificables que cumplen el estándar IETF Remote ATtestation ProcedureS (RATS) Entity Attestation Token (EAT). A continuación, Google Cloud Attestation proporciona pruebas criptográficas de estas afirmaciones que pueden usar los servicios que dependen de ellas, como Secret Manager y Gestión de Identidades y Accesos (IAM) de Google.
Las pruebas criptográficas se pueden validar de las siguientes formas:
Usar una clave pública. Para obtener más información, consulta Tokens de OIDC. Esta opción es más sencilla y funciona de forma nativa con aplicaciones compatibles con OIDC.
Usar un certificado raíz. Para obtener más información, consulta Tokens de PKI. Esta opción permite la verificación sin conexión, sin que cada tercero de confianza tenga que descubrir la clave de verificación. Para ver un ejemplo completo de validación sin conexión, consulta el codelab Usar Espacio Confidencial con recursos protegidos que no se almacenan con un proveedor de servicios en la nube.
Información general sobre la arquitectura de RATS
La arquitectura de los procedimientos de atestación remota (RATS) implica las siguientes entidades principales:
Entidad certificadora: entidad que proporciona pruebas de su fiabilidad. En Google Cloud, se trata de un entorno confidencial (por ejemplo, una máquina virtual confidencial, nodos confidenciales de GKE o Confidential Space).
Verificador: entidad que evalúa las pruebas y genera resultados de atestación. Este es Google Cloud Attestation.
Parte verificadora: entidad que se basa en los resultados de la certificación para tomar decisiones (por ejemplo, una aplicación móvil, un contenedor de almacenamiento o un sistema de gestión de claves).
La arquitectura de RATS abarca los siguientes roles clave:
Propietario de la parte verificadora: entidad que configura la política de evaluación de la parte verificadora.
Propietario del verificador: entidad que configura la política de evaluación del verificador (por ejemplo, Google).
Entidad de respaldo: entidad que proporciona respaldos que validan las capacidades del attestador (por ejemplo, fabricantes de hardware como AMD, Intel o NVIDIA).
Proveedor de valores de referencia: entidad que proporciona valores de referencia para que el verificador valide las afirmaciones del certificador.
Flujo de trabajo de declaración de modelo de Passport
Google Cloud Attestation usa el modelo de pasaporte. El flujo de trabajo general del modelo de pasaporte incluye los siguientes pasos:
El atestador (entorno confidencial) solicita un resultado de atestación al verificador (Atestación de Google Cloud) proporcionando pruebas.
El verificador evalúa las pruebas y emite un resultado de certificación.
El certificador presenta este resultado a la entidad dependiente.
En este flujo de trabajo, Google Cloud Attestation actúa como verificador. Los entornos confidenciales, como las máquinas virtuales confidenciales, los nodos confidenciales de GKE o Confidential Space, actúan como verificadores. Entre las partes de confianza se incluyen Thales EKM, Google IAM y otros brokers de tokens.
Para asegurar la actualización de los resultados de la certificación, Google Cloud Attestation usa un número criptográfico que no se puede reutilizar. El certificador puede proporcionar un número aleatorio, que se acuerda con la parte verificadora, al verificador. La parte de confianza puede validar este número para asegurarse de que es reciente y correcto.