Google Cloud Attestation

Pengesahan adalah proses yang membangun kepercayaan pada Confidential Computing. Pengesahan berfungsi sebagai mekanisme verifikasi digital, yang memastikan bahwa data rahasia hanya diproses dalam Trusted Execution Environment (TEE) berbasis hardware yang telah diperiksa secara ketat.

Pengesahan Google Cloud menyediakan solusi terpadu untuk memverifikasi dari jarak jauh keandalan semua lingkungan rahasia Google. Layanan ini mendukung pengesahan lingkungan rahasia yang didukung oleh Virtual Trusted Platform Module (vTPM) untuk SEV dan TDX Module untuk Intel TDX.

Pengesahan Google Cloud dapat diterapkan di seluruh layanan berikut: Google Cloud

Layanan Confidential Computing	Teknologi Confidential Computing	Dukungan Google Cloud Attestation
Confidential VM	AMD SEV
Confidential VM	AMD SEV-SNP
Confidential VM	Intel TDX
Confidential Space	AMD SEV
Confidential Space	Intel TDX
Confidential GKE Nodes	AMD SEV

Meskipun Google Cloud Pengesahan praktis, alat open source juga dapat memperoleh laporan pengesahan secara langsung untuk instance Confidential VM. Untuk mengetahui detail selengkapnya, lihat Meminta laporan pengesahan.

Cara kerja Pengesahan Google Cloud

Pengesahan Google Cloud secara internal mengumpulkan dukungan langsung dari vendor hardware dan menegakkan serangkaian nilai referensi dan kebijakan penilaiannya sendiri yang secara khusus disesuaikan untuk setiap lingkungan rahasia. API ini menyediakan API bagi Google Cloud pengguna untuk mengambil token klaim hasil pengesahan.

Pengesahan Google Cloud mengumpulkan informasi dari lingkungan rahasia Anda dan memeriksanya berdasarkan nilai yang disetujui dan kebijakan yang dikelola Google. Pemeriksaan ini dikonversi menjadi klaim yang dapat diverifikasi yang mematuhi standar IETF Remote ATtestation ProcedureS (RATS) Entity Attestation Token (EAT). Kemudian, Pengesahan Google Cloud memberikan bukti kriptografis atas klaim ini yang dapat digunakan oleh layanan yang mengandalkan klaim tersebut, seperti Secret Manager dan Identity and Access Management (IAM) Google.

Bukti kriptografi dapat divalidasi dengan cara berikut:

1. Menggunakan kunci publik. Untuk mengetahui informasi selengkapnya, lihat Token OIDC. Opsi ini lebih sederhana dan berfungsi secara native dengan aplikasi yang kompatibel dengan OIDC.

2. Menggunakan root certificate. Untuk mengetahui informasi selengkapnya, lihat Token PKI. Opsi ini memungkinkan verifikasi offline, tanpa perlu setiap pihak tepercaya menemukan kunci verifikasi. Untuk contoh end-to-end validasi offline, lihat codelab Menggunakan Confidential Space dengan resource terlindungi yang tidak disimpan dengan penyedia cloud.

Ringkasan arsitektur RATS

Arsitektur Remote ATtestation ProcedureS (RATS) melibatkan entitas utama berikut:

• Pengesah: Entitas yang memberikan bukti kredibilitasnya. Di Google Cloud, ini adalah lingkungan rahasia (misalnya, Confidential VM, Confidential GKE Node, atau Confidential Space).

• Verifier: Entitas yang mengevaluasi bukti dan membuat hasil pengesahan. Ini adalah Google Cloud Attestation.

• Pihak tepercaya: Entitas yang mengandalkan hasil pengesahan untuk membuat keputusan (misalnya, aplikasi seluler, bucket penyimpanan, atau sistem pengelolaan kunci).

Arsitektur RATS mencakup peran utama berikut:

• Pemilik pihak tepercaya: Entitas yang mengonfigurasi kebijakan penilaian untuk pihak tepercaya.

• Pemilik verifikasi: Entitas yang mengonfigurasi kebijakan penilaian untuk verifier (misalnya, Google).

• Pendukung: Entitas yang memberikan dukungan yang memvalidasi kemampuan pengesah (misalnya, OEM hardware seperti AMD, Intel, atau Nvidia).

• Penyedia nilai referensi: Entitas yang menyediakan nilai referensi bagi verifier untuk memvalidasi klaim pengesah.

Alur kerja pengesahan model paspor

Pengesahan Google Cloud menggunakan model paspor. Alur kerja tingkat tinggi model paspor melibatkan langkah-langkah berikut:

1. Pengesah (lingkungan rahasia) meminta hasil pengesahan dari verifier (Pengesahan Google Cloud) dengan memberikan bukti.

2. Verifier mengevaluasi bukti dan mengeluarkan hasil pengesahan.

3. Pengesah menyajikan hasil ini kepada pihak tepercaya.

Dalam alur kerja ini, Pengesahan Google Cloud bertindak sebagai verifier. Lingkungan rahasia seperti (Confidential VM, Confidential GKE Node, atau Confidential Space) bertindak sebagai pengesah. Pihak tepercaya mencakup Thales EKM, Google IAM, dan broker token lainnya.

Untuk memastikan keaktualan hasil pengesahan, Pengesahan Google Cloud menggunakan angka kriptografi yang tidak dapat digunakan kembali. Pengesah dapat memberikan angka acak, yang disepakati dengan pihak yang mengandalkan, kepada petugas verifikasi. Pihak tepercaya kemudian dapat memvalidasi nomor ini untuk memastikan keaktualan dan keakuratannya.