Pengesahan adalah proses yang membangun kepercayaan dalam Komputasi Rahasia. Pengesahan bertindak sebagai mekanisme verifikasi digital, yang memastikan bahwa data rahasia hanya diproses dalam Trusted Execution Environment (TEE) berbasis hardware yang telah diperiksa secara ketat.
Google Cloud Attestation menyediakan solusi terpadu untuk memverifikasi kepercayaan semua lingkungan rahasia Google dari jarak jauh. Layanan ini mendukung pengesahan lingkungan rahasia yang didukung oleh Virtual Trusted Platform Module (vTPM) untuk SEV dan Modul TDX untuk Intel TDX.
Google Cloud Attestation dapat diterapkan di seluruh layanan Google Cloudberikut:
| Layanan Confidential Computing | Teknologi Confidential Computing | Dukungan Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| Confidential VM | AMD SEV-SNP | |
| Confidential VM | Intel TDX | |
| Confidential Space | AMD SEV | |
| Confidential Space | Intel TDX | |
| Confidential GKE Node | AMD SEV |
Meskipun Google Cloud Attestation praktis, alat open source juga dapat mendapatkan laporan pengesahan langsung untuk instance Confidential VM. Untuk mengetahui detail selengkapnya, lihat Meminta laporan pengesahan.
Cara kerja Google Cloud Attestation
Pengesahan Google Cloud secara internal mengumpulkan pengesahan langsung dari vendor hardware dan mempertahankan kumpulan nilai referensi dan kebijakan penilaiannya sendiri yang disesuaikan secara khusus untuk setiap lingkungan rahasia. API ini menyediakan API bagi pengguna Google Cloud untuk mengambil token klaim hasil pengesahan.
Google Cloud Attestation mengumpulkan informasi dari lingkungan rahasia Anda dan memeriksanya dengan nilai yang disetujui dan kebijakan yang dikelola Google. Pemeriksaan ini dikonversi menjadi klaim yang dapat diverifikasi dan mematuhi standar Token Pengesahan Entitas (EAT) Prosedur Pengesahan Jarak Jauh (RATS) IETF. Kemudian, Google Cloud Attestation memberikan bukti kriptografis atas klaim ini yang dapat digunakan oleh layanan yang mengandalkan klaim tersebut, seperti Secret Manager dan Google Identity and Access Management (IAM).
Bukti kriptografis dapat divalidasi dengan cara berikut:
Menggunakan kunci publik. Untuk informasi selengkapnya, lihat Token OIDC. Ini adalah opsi yang lebih sederhana dan berfungsi secara native dengan aplikasi yang kompatibel dengan OIDC.
Menggunakan root certificate. Untuk mengetahui informasi selengkapnya, lihat Token PKI. Opsi ini memungkinkan verifikasi offline, tanpa perlu setiap pihak terpercaya menemukan kunci verifikasi. Untuk contoh end-to-end validasi offline, lihat codelab Menggunakan Confidential Space dengan resource yang dilindungi yang tidak disimpan dengan penyedia cloud.
Ringkasan arsitektur RATS
Arsitektur Remote ATtestation ProcedureS (RATS) melibatkan entity utama berikut:
Pengesah: Entitas yang memberikan bukti kepercayaannya. Di Google Cloud, ini adalah lingkungan rahasia (misalnya, Confidential VM, Confidential GKE Node, atau Confidential Space).
Pengverifikasi: Entitas yang mengevaluasi bukti dan menghasilkan hasil pengesahan. Ini adalah Google Cloud Attestation.
Pihak tepercaya: Entitas yang mengandalkan hasil pengesahan untuk membuat keputusan (misalnya, aplikasi seluler, bucket penyimpanan, atau sistem pengelolaan kunci).
Arsitektur RATS mencakup peran utama berikut:
Pemilik pihak tepercaya: Entitas yang mengonfigurasi kebijakan penilaian untuk pihak tepercaya.
Pemilik verifikasi: Entitas yang mengonfigurasi kebijakan penilaian untuk verifikasi (misalnya, Google).
Penandatangan: Entitas yang memberikan pengesahan yang memvalidasi kemampuan penanda (misalnya, OEM hardware seperti AMD, Intel, atau Nvidia).
Penyedia nilai referensi: Entitas yang menyediakan nilai referensi bagi verifier untuk memvalidasi klaim pelapor.
Alur kerja pengesahan model paspor
Google Cloud Attestation menggunakan model paspor. Alur kerja tingkat tinggi dari model paspor melibatkan langkah-langkah berikut:
Pengesah (lingkungan rahasia) meminta hasil pengesahan dari verifier (Google Cloud Attestation) dengan memberikan bukti.
Pengverifikasi mengevaluasi bukti dan menerbitkan hasil pengesahan.
Pengesah menyajikan hasil ini kepada pihak tepercaya.
Dalam alur kerja ini, Google Cloud Attestation bertindak sebagai verifier. Lingkungan rahasia seperti (Confidential VM, Confidential GKE Node, atau Confidential Space) bertindak sebagai pengautentikasi. Pihak tepercaya mencakup Thales EKM, Google IAM, dan broker token lainnya.
Untuk memastikan keaktualan hasil pengesahan, Google Cloud Attestation menggunakan angka kriptografis yang tidak dapat digunakan kembali. Pengesah dapat memberikan angka acak, yang disepakati dengan pihak tepercaya, kepada verifier. Pihak yang mengandalkan kemudian dapat memvalidasi nomor ini untuk memastikan keaktualan dan kebenarannya.