Acerca de la certificación con Intel SGX o TDX para Virtual Servers for VPC

Seleccionar disponibilidad

La certificación es un proceso de validación que garantiza que un entorno de ejecución se instancie en un enclave SGX o TDX cifrado en un sistema con una configuración de seguridad conocida. Data Center Attestation Primitives (DCAP) de Intel facilita la certificación.

Los perfiles informáticos confidenciales están disponibles en las regiones de Dallas (us-south), Washington DC (us-east) y Fráncfort (eu-de). La informática confidencial con Intel SGX para VPC es Dallas (us-sur), Washington DC (us-este) y Frankfurt (eu-de). La informática confidencial con Intel TDX para VPC sólo está disponible en la región de Washington DC (este de EE.UU.). Si desea crear una instancia de servidor virtual con un perfil informático confidencial y TDX, puede crear esa instancia de servidor virtual sólo en la región de Washington DC (EE.UU.-Este). No puede crear una instancia de servidor virtual con TDX en ninguna otra región, incluidas Dallas (us-south) y Frankfurt (eu-de). Para más información, consulte Problemas conocidos de la informática confidencial. La informática confidencial sólo está disponible con determinados perfiles. Para más información, consulte Perfiles informáticos confidenciales.

Intel SGX ayuda a proteger los datos que están en uso mediante la tecnología de aislamiento de aplicaciones. Intel TDX ayuda a proteger los datos que están en uso mediante la tecnología de aislamiento de máquinas virtuales. Gracias a estas funciones, los desarrolladores pueden proteger la integridad y confidencialidad de su código y sus datos.

Habilitación de la certificación para SGX

El certificado PCK está disponible en el servidor virtual SGX, por lo que no es necesario obtenerlo de un servicio PCCS. Este certificado está en /root/.dcap-qcnl/*. Un usuario no root debe copiar el directorio /root/.dcap-qcnl/* a su directorio $HOME para utilizar DCAP.

Instale los paquetes DCAP y QCNL tal y como especifica Intel.

Instale DCAP versión 1.19 o superior, ya que las versiones anteriores no dan soporte a certificados almacenados localmente en memoria caché.

Vuelva a configurar AESM para que utilice el certificado PCK almacenado en caché local y reinicie el servicio como se muestra en el siguiente ejemplo.

Configure /etc/sgx_default_qcnl.conf

 "use_secure_cert": false
 "local_cache_only": true

Reiniciar aesmd

 systemctl restart aesmd

Activación de la certificación para TDX

Para habilitar la atestación para TDX, siga las instrucciones de Intel Trust Domain at Runtime.

TDX no admite la interfaz vsock para la generación de presupuestos. Para la generación de presupuestos, debe utilizar tdvmcal.

Documentación sobre SGX y TDX de Intel

Para más información sobre SGX y TDX, consulte los siguientes enlaces.

SGX

Para DCAP, consulte Intel ® SGX Data Center AttestationPrimitives Intel ® SGX DCAP.
Para ver la testificación utilizando DCAP, consulte Generación de presupuesto, verificación y testificación con Intel ® Software Guard Extensions Data Center Attestation Primitives(Intel ® SGX DCAP).
Para la instalación de DCAP, consulte la Documentación Confidencial de Informática Intel® ){: external}.
Para el servicio de verificación de testificación, consulte Autoridad de confianza de Intel ®.

TDX

Para TDX, consulte la Guía de habilitación de Intel TDX.
Para la atestación remota TDX, consulte Intel TDX Remote Attestation.