Sobre o atestado com Intel SGX ou TDX para Virtual Servers for VPC

Selecionar disponibilidade

O atestado é um processo de validação que garante que um ambiente de tempo de execução seja instanciado em um enclave SGX ou TDX criptografado em um sistema com uma configuração de segurança conhecida. O Data Center Attestation Primitives (DCAP) da Intel facilita o atestado.

Perfis de computação confidenciais estão disponíveis nas regiões de Dallas (EUA-sul), Washington DC (EUA-leste) e Frankfurt (UE-de). A computação confidencial com o Intel SGX para VPC é Dallas (EUA-sul), Washington DC (EUA-leste) e Frankfurt (UE-de). A computação confidencial com o Intel TDX para VPC está disponível apenas na região de Washington DC (leste dos EUA). Se você quiser criar uma instância de servidor virtual com um perfil de computação confidencial e TDX, poderá criar essa instância de servidor virtual somente na região de Washington DC (leste dos EUA). Você não pode criar uma instância de servidor virtual com TDX em nenhuma outra região, incluindo Dallas (us-south) e Frankfurt (eu-de). Para obter mais informações, consulte Problemas conhecidos de computação confidencial. A computação confidencial só está disponível em perfis selecionados. Para obter mais informações, consulte Perfis de computação confidenciais.

O Intel SGX ajuda a proteger os dados que estão em uso por meio da tecnologia de isolamento de aplicativos. O Intel TDX ajuda a proteger os dados que estão em uso por meio da tecnologia de isolamento de máquinas virtuais. Ao usar esses recursos, os desenvolvedores podem proteger a integridade e a confidencialidade de seus códigos e dados.

Habilitação de atestado para SGX

O certificado PCK está disponível no servidor virtual SGX, portanto, não é necessário obtê-lo em um serviço PCCS. Esse certificado está em /root/.dcap-qcnl/* Um usuário não raiz deve copiar o diretório /root/.dcap-qcnl/* para seu diretório $HOME para usar o DCAP.

Instale os pacotes DCAP e QCNL conforme especificado pela Intel.

Instale o DCAP versão 1.19 ou superior, pois as versões anteriores não suportam certificados armazenados em cache localmente.

Reconfigure o AESM para usar o certificado PCK armazenado em cache localmente e reinicie o serviço, conforme mostrado no exemplo a seguir.

Configurar /etc/sgx_default_qcnl.conf

 "use_secure_cert": false
 "local_cache_only": true

Reinicialização aesmd
```
 systemctl restart aesmd
```

Habilitação de atestado para TDX

Para ativar o atestado para TDX, siga as instruções da Intel Trust Domain at Runtime.

O TDX não é compatível com a interface vsock para geração de cotações. Para a geração de cotações, você deve usar o site tdvmcal.

Documentação sobre SGX e TDX da Intel

Para obter mais informações sobre a SGX e a TDX, consulte os links a seguir.

SGX

Para DCAP, consulte Intel ® SGX Data Center AttestationPrimitives Intel ® SGX DCAP.
Para obter o atestado usando o DCAP, consulte Geração, verificação e atestado de cotação com primitivas de atestado do data center do Intel ® Software Guard(Intel ® SGX DCAP).
Para a instalação do DCAP, consulte Documentação confidencial de informática da Intel® ){: external}.
Para o serviço de verificação de Atestado, consulte Intel ® Trust Authority.

TDX

Para TDX, consulte o Guia de ativação do Intel TDX.
Para atestado remoto TDX, consulte Intel TDX Remote Attestation.