Pengesahan adalah proses meningkatkan keyakinan bahwa instance Confidential VM sah dan beroperasi dalam status yang diharapkan. Ini adalah alat penting dalam memvalidasi bahwa workload Anda berjalan di trusted execution environment (TEE).
Laporan pengesahan adalah bukti bahwa VM Anda berjalan di TEE. Instance ini dibuat oleh instance Confidential VM, dan bergantung pada teknologi Confidential Computing yang digunakan, ditandatangani oleh vTPM berbasis software, atau Trusted Security Module (TSM) khusus berbasis hardware. Laporan pengesahan berisi pengukuran yang terkait dengan aktivitas bootloader, konfigurasi hardware, konfigurasi firmware, dan peristiwa lain yang dicatat saat booting yang membantu memvalidasi status dan identitas instance VM Rahasia.
Jenis laporan pengesahan yang dapat Anda minta bergantung pada teknologi Confidential Computing yang digunakan instance Confidential VM Anda.
| Sumber penandatanganan | Jenis | Cakupan laporan | Teknologi Confidential Computing | ||
|---|---|---|---|---|---|
| SEV | SEV-SNP | Intel TDX | |||
| vTPM yang dikelola Google | vTPM berbasis software | Aktivitas bootloader, integritas kernel | |||
| AMD Secure Processor | TSM berbasis hardware | Lingkungan hardware dan firmware | |||
| Modul TDX Intel | TSM berbasis hardware | Lingkungan hardware dan firmware | |||
Meminta laporan pengesahan
Anda dapat meminta laporan pengesahan dari vTPM yang dikelola Google, Secure Processor AMD, dan modul TDX Intel dengan alat berikut:
Alat Go-TPM (versi 0.4.4 atau yang lebih baru diperlukan untuk dukungan AMD SEV-SNP dan Intel TDX)
Peristiwa GceNonHostInfo dalam log peristiwa pengesahan vTPM menunjukkan teknologi Confidential Computing yang digunakan. Alat Go-TPM dapat meminta
laporan pengesahan dari AMD Secure Processor jika AMD SEV-SNP digunakan, atau dari
modul Intel TDX jika Intel TDX digunakan.
Khusus untuk laporan pengesahan hardware, Anda dapat mengirim tantangan kriptografis ke TSM dengan alat berikut:
Untuk AMD SEV-SNP, gunakan SEV Guest. Sertifikat Kunci Dukungan Chip Versi (VCEK) di-cache di VM, bukan diminta langsung dari sistem distribusi kunci (KDS) AMD.
Untuk Intel TDX, gunakan TDX Guest.
Intel TDX di Ubuntu
Untuk image Ubuntu pada kernel 1016 dan yang lebih baru, modul tdx_guest ada dalam
paket linux-modules-extra.
Untuk menginstal paket linux-modules-extra, jalankan perintah berikut:
sudo apt-get install linux-modules-extra-gcp
Jika mengalami masalah saat menginstal linux-modules-extra-gcp, Anda dapat
mengupdate kernel dengan menjalankan perintah berikut:
sudo apt-get upgrade
Anda harus memulai ulang atau memuat modul secara manual agar perubahan diterapkan. Untuk memuat modul secara manual, jalankan perintah berikut:
sudo modprobe tdx_guest
Memverifikasi laporan pengesahan dengan Google Cloud Attestation
Jika model kepercayaan Anda mengizinkannya, Anda dapat menggunakan Google Cloud Attestation, bukan menulis dan menjalankan verifier pengesahan sendiri. Google Cloud Attestation ditawarkan tanpa biaya, dan hanya dapat digunakan dengan instance VM Confidential AMD SEV.
Setelah menggunakan alat Go-TPM untuk mengambil kutipan pengesahan dari vTPM instance Confidential VM, Anda akan mengirimkannya ke Google Cloud Attestation untuk verifikasi. Jika kutipan lulus verifikasi, Google Cloud Attestation akan menampilkan token yang berisi informasi VM yang kemudian dapat Anda bandingkan dengan kebijakan Anda sendiri untuk mengonfirmasi apakah VM harus dipercaya atau tidak.
Untuk contoh menyeluruh tentang cara menggunakan Google Cloud Attestation, lihat codelab vTPM Remote Attestation on Confidential Virtual Machine.