我们很高兴地宣布, Confidential Space是我们的新解决方案,可让您控制对敏感数据的访问并以以前不可能的方式安全协作,现在可以公开预览。首次 在 Google Cloud Next 上宣布,Confidential Space 可以提供许多好处来安全地管理来自金融机构、医疗保健和制药公司以及 Web3 资产的数据。今天,我们将探讨使这些解决方案成为可能的机密空间系统的一些安全特性。
机密空间使用可信执行环境 (TEE),它允许数据贡献者控制其数据的使用方式以及授权哪些工作负载对数据执行操作。证明过程和强化的操作系统映像有助于保护工作负载和工作负载处理的数据免受不受信任的操作员的侵害。
机密空间系统具有三个核心组件:
工作负载是一个容器化图像,带有在基于云的 TEE 中运行的强化操作系统。您可以使用机密计算作为提供硬件隔离和远程证明功能的 TEE。
证明服务,它是 OpenID Connect (OIDC) 令牌提供程序。该服务验证 TEE 的证明报价并发布身份验证令牌。令牌包含工作负载的标识属性。
托管的云保护资源,例如 Cloud Key Management Service 密钥或 Cloud Storage 存储桶。该资源受允许访问授权联合身份令牌的允许策略保护。
该系统可以帮助确保只向授权的工作负载授予对受保护资源的访问权限。机密空间还可以帮助保护工作负载在证明前后免受检查和篡改。
在我们已发表的机密空间安全概述研究论文中,我们探讨了针对机密空间系统的几种潜在攻击媒介,以及它如何减轻这些威胁。值得注意的是,该研究指出了机密空间如何防止恶意工作负载操作员和管理员以及恶意外部对手试图创建流氓工作负载证明。
通过这些保护,机密空间建立了信心,即只有商定的工作负载才能访问敏感数据。该研究还强调了为识别系统中的潜在弱点而执行的一些广泛的安全审查和测试,包括领域专家审查、细致的安全审计以及功能和模糊测试。
我们要求NCC Group对机密空间进行独立的安全评估,以分析其架构和实施。NCC Group 利用他们审查其他 Google Cloud 产品的经验来深入挖掘机密空间。
NCC Group 的广泛审查(包括渗透测试和自动安全扫描)发现安全漏洞为零。在他们的报告中,架构审查强调了如何通过协调测量启动与 vTPM 证明、通过限制管理员控制和访问减少攻击面、工作负载测量和强制启动策略以及基于已证明工作负载运行时的资源保护策略来实现安全属性特性。
这些属性的组合创建了强大的安全属性,控制实际工作负载代码和环境的运行时测量数据的发布,而不仅仅是用户和服务帐户凭证。机密空间提供的平台包括:
可靠的工作负载证明,包括工作负载代码测量、参数和环境以及操作环境声明
一种完全托管的证明验证服务,可验证预期的环境证明声明
允许围绕这些声明创建任意复杂(或极其简单)的策略的策略引擎
一种将这些政策附加到 Google Cloud 资源的机制,该平台共同提供了一种机制,可以确保他们的数据只发布到不会滥用该数据的受信任工作负载中。
