La certificación es el proceso que establece la confianza en la computación confidencial. La certificación actúa como un mecanismo de verificación digital, lo que garantiza que los datos confidenciales solo se procesen en entornos de ejecución confiable (TEE) basados en hardware que se hayan verificado de forma rigurosa.
La certificación de Google Cloud proporciona una solución unificada para verificar de forma remota la confiabilidad de todos los entornos confidenciales de Google. El servicio admite la certificación de entornos confidenciales respaldados por un módulo de plataforma de confianza virtual (vTPM) para SEV y el módulo TDX para Intel TDX.
La certificación de Google Cloud se puede aplicar en los siguientes Google Cloud servicios:
| Servicio de Confidential Computing | Tecnología de Confidential Computing | Compatibilidad con Google Cloud Attestation |
|---|---|---|
| Confidential VM | AMD SEV | |
| Confidential VM | AMD SEV-SNP | |
| Confidential VM | Intel TDX | |
| Confidential Space | AMD SEV | |
| Confidential Space | Intel TDX | |
| Confidential GKE Nodes | AMD SEV |
Si bien la certificación de Google Cloud es conveniente, las herramientas de código abierto también pueden obtener informes de certificación directamente para instancias de VM confidenciales. Para obtener más información, consulta Cómo solicitar un informe de certificación.
Cómo funciona la certificación de Google Cloud
La Certificación de Google Cloud recopila internamente recomendaciones directamente de los proveedores de hardware y mantiene su propio conjunto de valores de referencia y políticas de evaluación adaptados específicamente para cada entorno confidencial. Proporciona APIs para que los usuarios de Google Cloud recuperen tokens de reclamos de resultados de certificación.
La Certificación de Google Cloud recopila información de tu entorno confidencial y la compara con los valores aprobados y las políticas que mantiene Google. Estas verificaciones se convierten en declaraciones verificables que cumplen con el estándar de token de certificación de entidad (EAT) de los procedimientos de certificación remota (RATS) de IETF. Luego, la certificación de Google Cloud proporciona pruebas criptográficas de estos reclamos que pueden usar los servicios que dependen de ellos, como Secret Manager y la Identity and Access Management (IAM) de Google.
Las pruebas de criptografía se pueden validar de las siguientes maneras:
Con una clave pública Para obtener más información, consulta Tokens de OIDC. Esta es la opción más sencilla y funciona de forma nativa con aplicaciones compatibles con OIDC.
Usar un certificado raíz Para obtener más información, consulta Tokens de PKI. Esta opción permite la verificación sin conexión, sin que cada parte de confianza deba descubrir la clave de verificación. Para ver un ejemplo de extremo a extremo de la validación sin conexión, consulta el codelab Cómo usar Confidential Space con recursos protegidos que no se almacenan con un proveedor de servicios en la nube.
Descripción general de la arquitectura de RATS
La arquitectura de los procedimientos de certificación remota (RATS) incluye las siguientes entidades principales:
Credencial: Es una entidad que proporciona evidencia de su confiabilidad. EnGoogle Cloud, este es un entorno confidencial (por ejemplo, Confidential VM, Confidential GKE Nodes o Confidential Space).
Verificador: Es una entidad que evalúa las pruebas y genera los resultados de la certificación. Esta es la Certificación de Google Cloud.
Parte de confianza: Es una entidad que se basa en los resultados de la certificación para tomar decisiones (por ejemplo, una app para dispositivos móviles, un bucket de almacenamiento o un sistema de administración de claves).
La arquitectura de RATS abarca los siguientes roles clave:
Propietario de la parte de confianza: Es una entidad que configura la política de evaluación para la parte de confianza.
Propietario del verificador: Es una entidad que configura la política de evaluación para el verificador (por ejemplo, Google).
Entidad de certificación: Es una entidad que proporciona recomendaciones que validan las capacidades del certificador (por ejemplo, OEM de hardware como AMD, Intel o Nvidia).
Proveedor de valores de referencia: Es una entidad que proporciona valores de referencia para que el verificador valide las afirmaciones del certificador.
Flujo de trabajo de certificación de modelos de pasaporte
La certificación de Google Cloud usa el modelo de pasaporte. El flujo de trabajo de alto nivel del modelo de pasaporte implica los siguientes pasos:
El certificador (entorno confidencial) solicita un resultado de certificación al verificador (certificación de Google Cloud) proporcionando evidencia.
El verificador evalúa las pruebas y emite un resultado de certificación.
El certificador presenta este resultado a la parte de confianza.
En este flujo de trabajo, la Certificación de Google Cloud actúa como verificador. Los entornos confidenciales, como Confidential VM, Confidential GKE Nodes o Confidential Space, actúan como verificadores. Entre las partes de confianza, se incluyen el EKM de Thales, IAM de Google y otros agentes de tokens.
Para garantizar la actualización de los resultados de la certificación, la certificación de Google Cloud usa un número criptográfico que no se puede volver a usar. El certificador puede proporcionar un número aleatorio, que se acuerda con la parte de confianza, al verificador. Luego, la parte de confianza puede validar este número para garantizar su actualización y exactitud.