La certificación es el proceso que establece la confianza en la Confidential Computing. La certificación actúa como un mecanismo de verificación digital que garantiza que los datos confidenciales solo se procesen dentro de entornos de ejecución confiables (TEE) basados en hardware que se hayan verificado de forma rigurosa.
La certificación de Google Cloud proporciona una solución unificada para verificar de forma remota la confiabilidad de todos los entornos confidenciales de Google. El servicio admite la certificación de entornos confidenciales respaldados por un Módulo de plataforma de confianza virtual (vTPM) para SEV y el módulo TDX para Intel TDX.
La certificación de Google Cloud se puede aplicar en los siguientes servicios: Google Cloud
| Servicio de Confidential Computing | Tecnología de Confidential Computing | Compatibilidad con Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| Confidential VM | AMD SEV-SNP | |
| Confidential VM | Intel TDX | |
| Confidential Space | AMD SEV | |
| Confidential Space | Intel TDX | |
| Confidential GKE Nodes | AMD SEV |
Si bien la certificación de Google Cloud es conveniente, las herramientas de código abierto también pueden obtener informes de certificación directamente para las instancias de Confidential VM. Para obtener más detalles, consulta Cómo solicitar un informe de certificación.
Cómo funciona la certificación de Google Cloud
Internamente, Google Cloud Attestation recopila aprobaciones directamente de los proveedores de hardware y mantiene su propio conjunto de valores de referencia y políticas de evaluación diseñados específicamente para cada entorno confidencial. Proporciona APIs para que los usuarios de Google Cloud recuperen tokens de reclamos de resultados de certificación.
La certificación de Google Cloud recopila información de tu entorno confidencial y la compara con los valores aprobados y las políticas que mantiene Google. Estas verificaciones se convierten en declaraciones verificables que cumplen con el estándar del token de certificación de entidad (EAT) de los Procedimientos de certificación remota (RATS) del IETF. Luego, la certificación de Google Cloud proporciona pruebas criptográficas de estas declaraciones que pueden usar los servicios que dependen de ellas, como Secret Manager y Identity and Access Management (IAM) de Google.
Las pruebas criptográficas se pueden validar de las siguientes maneras:
Usar una clave pública Para obtener más información, consulta Tokens de OIDC. Esta es la opción más sencilla y funciona de forma nativa con aplicaciones compatibles con OIDC.
Usa un certificado raíz. Para obtener más información, consulta Tokens de PKI. Esta opción permite la verificación sin conexión, sin necesidad de que cada parte que confía en la verificación descubra la clave de verificación. Para ver un ejemplo de extremo a extremo de la validación sin conexión, consulta el codelab Usa Confidential Space con recursos protegidos que no se almacenan con un proveedor de servicios en la nube.
Descripción general de la arquitectura de RATS
La arquitectura de Remote ATtestation ProcedureS (RATS) involucra las siguientes entidades principales:
Entidad certificadora: Es una entidad que proporciona evidencia de su confiabilidad. EnGoogle Cloud, este es un entorno confidencial (por ejemplo, Confidential VM, Confidential GKE Nodes o Confidential Space).
Verificador: Es una entidad que evalúa la evidencia y genera resultados de la certificación. Esta es la certificación de Google Cloud.
Entidad de confianza: Es una entidad que depende de los resultados de la certificación para tomar decisiones (por ejemplo, una app para dispositivos móviles, un bucket de almacenamiento o un sistema de administración de claves).
La arquitectura de RATS abarca los siguientes roles clave:
Propietario de la parte que confía: Es una entidad que configura la política de tasación para la parte que confía.
Propietario del verificador: Es una entidad que configura la política de valoración para el verificador (por ejemplo, Google).
Entidad de respaldo: Es una entidad que proporciona respaldos para validar las capacidades del certificador (por ejemplo, OEM de hardware como AMD, Intel o Nvidia).
Proveedor de valores de referencia: Es una entidad que proporciona valores de referencia para que el verificador valide las declaraciones del certificador.
Flujo de trabajo de certificación del modelo de pasaporte
La certificación de Google Cloud usa el modelo de pasaporte. El flujo de trabajo de alto nivel del modelo de pasaporte incluye los siguientes pasos:
El certificador (entorno confidencial) solicita un resultado de certificación al verificador (Certificación de Google Cloud) proporcionando evidencia.
El verificador evalúa la evidencia y emite un resultado de certificación.
El verificador presenta este resultado a la parte que confía.
En este flujo de trabajo, la certificación de Google Cloud actúa como verificador. Los entornos confidenciales, como Confidential VM, Confidential GKE Nodes o Confidential Space, actúan como verificadores. Entre las partes que confían, se incluyen el EKM de Thales, IAM de Google y otros intermediarios de tokens.
Para garantizar la actualización de los resultados de la certificación, Google Cloud Attestation usa un número criptográfico que no se puede reutilizar. El certificador puede proporcionar un número aleatorio, que se acuerda con la parte que confía, al verificador. Luego, la parte que confía puede validar este número para garantizar su vigencia y exactitud.