Tipos e cenários de atestado

A computação é uma parte essencial de nossas vidas diárias. Ele alimenta tudo, desde nossos smartphones até infraestrutura crítica. Ambientes regulatórios cada vez mais rigorosos, a prevalência de ataques cibernéticos e a crescente sofisticação dos invasores dificultam a confiança na autenticidade e integridade das tecnologias de computação das quais dependemos. Atestado é uma técnica para verificar os componentes de software e hardware de um sistema. É um processo crítico para estabelecer e garantir que as tecnologias de computação em que confiamos sejam confiáveis.

Neste artigo, analisamos o que é o atestado, os tipos de atestado que a Microsoft oferece hoje e como você pode usar esses tipos de cenários de atestado em soluções da Microsoft.

O que é atestado?

No atestado remoto, um par (o atestado) produz informações críveis sobre si mesmo (a evidência) para permitir que um par remoto (a terceira parte confiável) decida se deve considerar esse atestado como um par confiável. Outra parte vital (o verificador) executa os procedimentos de atestado remoto. Em termos simples, o atestado é uma maneira de provar que um sistema de computador é confiável.

Para entender o que é o atestado e como ele funciona na prática, este artigo compara o processo de atestado na computação com exemplos da vida real com passaportes e verificações de antecedentes.

A definição e os modelos usados neste artigo são descritos no documento de arquitetura dos procedimentos de atestado remoto (RATs) da IETF (Internet Engineering Task Force). Para saber mais, confira a Força-Tarefa de Engenharia da Internet: arquitetura de RATs (procedimentos de atestado remoto).

Modelo de passaporte

Dois cenários de passaporte são apresentados nesta seção.

Modelo de passaporte: Mesa de imigração

1. Um cidadão quer um passaporte para viajar para um país/região estrangeiro. O cidadão envia requisitos de evidência para seu país/região de host.

2. O país-sede/região recebe a evidência de conformidade da política do indivíduo e verifica se as evidências fornecidas comprovam que o indivíduo está em conformidade com as políticas de emissão de passaporte:

   • A certidão de nascimento é válida e não foi alterada.
   • O emissor da certidão de nascimento é confiável.
   • O indivíduo não faz parte de uma lista restrita.

3. Se o país-sede/região decidir que as evidências atendem às suas políticas, o país-sede/região emitirá um passaporte para o cidadão.

4. O cidadão viaja para uma nação estrangeira, mas primeiro deve apresentar seu passaporte ao agente de patrulha de fronteira do país/região estrangeira para avaliação.

5. O agente de patrulha de fronteira do país/região estrangeira verifica uma série de regras no passaporte antes de confiar nele:

   • O passaporte é autêntico e não foi alterado.
   • Um país/região confiável produziu o passaporte.
   • O passaporte não expirou ou foi revogado.
   • O passaporte está em conformidade com a política de um visto ou requisito de idade.

6. O agente de patrulha de fronteira do país/região estrangeira aprova o passaporte e o cidadão pode entrar no país/região estrangeiro.

Modelo de passaporte: computação

1. Um Ambiente de Execução Confiável (TEE), que também é conhecido como um atestar, quer recuperar segredos de um gerenciador de segredos, também conhecido como uma terceira parte confiável. Para recuperar segredos do gerente de segredos, o TEE deve provar ao gerente de segredos que ele é confiável e genuíno. O TEE envia suas provas a um verificador para provar que é confiável e genuíno. A evidência inclui o hash de seu código executado, o hash de seu ambiente de build e seu certificado gerado por seu fabricante.

2. O verificador, que é um serviço de atestado, avalia se as evidências fornecidas pelo TEE atendem aos seguintes requisitos para serem confiáveis:

   • O certificado é válido e não foi alterado.
   • O emissor do certificado é confiável.
   • A evidência do TEE não faz parte de uma lista restrita.

3. Se o verificador decidir que a evidência atende às políticas definidas, o verificador criará um resultado de atestado e o fornecerá ao TEE.

4. O TEE quer trocar segredos com o gerente de segredos. Primeiro, ele deve apresentar seu resultado de atestado ao gerenciador de segredos para avaliação.

5. O gerenciador de segredos verifica uma série de regras no resultado do atestado antes de confiar nele:

   • O resultado do atestado é autêntico e não foi alterado.
   • Uma autoridade confiável produziu o resultado do atestado.
   • O resultado do ateste não expirou nem foi revogado.
   • O resultado do atestado está em conformidade com a política de administrador configurada.

6. O gerente de segredos aprova o resultado do atestado e troca segredos com o TEE.

Modelo de verificação em segundo plano

Dois cenários de verificação em segundo plano são apresentados nesta seção.

Verificação de antecedentes: Verificação escolar

1. Uma pessoa está fazendo uma verificação de antecedentes com um potencial empregador para obter um emprego. A pessoa envia sua formação educacional da escola que frequentou ao potencial empregador.

2. O empregador recupera a formação educacional da pessoa e encaminha essas informações para a respectiva escola a ser verificada.

3. A escola avalia se a formação educacional fornecida pela pessoa atende aos registros escolares.

4. A escola emite um resultado de atestado que verifica se o histórico educacional da pessoa corresponde aos seus registros e o envia ao empregador.

5. O empregador, também conhecido como terceira parte confiável, pode verificar uma série de regras sobre o resultado do atestado antes de confiar nele:

   • O resultado do atestado é autêntico, não foi alterado e vem da escola.
   • Uma escola confiável produziu o resultado do atestado.

6. O empregador aprova o resultado do atestado e contrata a pessoa.

Verificação de antecedentes: Computação

1. Um TEE, também conhecido como um atesta, quer recuperar segredos de um gerente de segredos, também conhecido como uma terceira parte confiável. Para recuperar segredos do gerente de segredos, o TEE deve provar que é confiável e genuíno. O TEE envia suas provas ao gerente de segredos para provar que é confiável e genuíno. A evidência inclui o hash de seu código executado, o hash de seu ambiente de build e seu certificado gerado por seu fabricante.

2. O gerente de segredos recupera a evidência do TEE e a encaminha para que o verificador a verifique.

3. O serviço verificador avalia se as evidências fornecidas pelo TEE atendem aos requisitos de política definidos para serem confiáveis:

   • O certificado é válido e não foi alterado.
   • O emissor do certificado é confiável.
   • A evidência do TEE não faz parte de uma lista restrita.

4. O verificador cria um resultado de certificação para o TEE e o envia para o gerenciador de segredos.

5. O gerenciador de segredos verifica uma série de regras no resultado do atestado antes de confiar nele:

   • O resultado do atestado é autêntico e não foi alterado.
   • Uma autoridade confiável produziu o resultado do atestado.
   • O resultado do ateste não expirou nem foi revogado.
   • O resultado do atestado está em conformidade com a política de administrador configurada.

6. O gerente de segredos aprova o resultado do atestado e troca segredos com o TEE.

Tipos de atestado

Os serviços de atestado são usados de duas maneiras distintas. Cada método fornece seus próprios benefícios.

Fornecedor de cloud

O Atestado do Azure é um serviço voltado para o cliente e uma estrutura para atestado de TEEs como enclaves do Intel Software Guard Extensions (SGX), enclaves de VBS (segurança baseada em virtualização), Módulos de Plataforma Confiável, Inicialização Confiável e VMs (máquinas virtuais confidenciais). Os benefícios de usar o serviço de atestado de um provedor de nuvem, como o Atestado do Azure, incluem:

• Ele está disponível livremente.
• O código-fonte está disponível para clientes governamentais por meio da Ferramenta Premium do Microsoft Code Center.
• Ele protege os dados enquanto estiver em uso operando em um enclave do Intel SGX.
• Ele atesta múltiplos TEEs em uma única solução.
• Ele oferece um acordo de nível de serviço robusto.

Crie seu próprio

Você pode criar seus próprios mecanismos de atestado para confiar em sua infraestrutura de computação a partir de ferramentas fornecidas por provedores de nuvem e hardware. Criar seus próprios processos de atestado para soluções da Microsoft pode exigir o uso do THIM (Trusted Hardware Identity Management) . Essa solução lida com o gerenciamento de cache de certificados para todos os TEEs que residem no Azure. Ele fornece informações de base de computação confiáveis para impor uma linha de base mínima para soluções de atestado. Os benefícios de criar e usar seu próprio serviço de atestado incluem:

• Controle de 100% sobre os processos de atestado para atender aos requisitos regulatórios e de conformidade.
• Personalização de integrações com outras tecnologias de computação.

Cenários de atestado na Microsoft

Você pode escolher entre o provedor de nuvem e criar seus próprios serviços de atestado para muitos cenários de atestado da Microsoft. As seções a seguir apresentam as ofertas do Azure e os cenários de atestado disponíveis.

VMs com enclaves de aplicativo

As VMs com enclaves de aplicativo são habilitadas pelo Intel SGX. As organizações podem criar enclaves que protegem os dados e mantêm os dados criptografados enquanto a CPU processa os dados. Você pode atestar enclaves da Intel SGX no Azure com Azure Attestation e individualmente. Para obter mais informações, consulte:

• Página inicial do atestado do Intel SGX
• Provedor de nuvem: atestado de código de exemplo do Intel SGX com o Atestado do Azure
• Crie seu próprio: abra o atestado de enclave

Máquinas virtuais confidenciais

As VMs confidenciais são habilitadas pelo AMD SEV-SNP. As organizações podem ter isolamento baseado em hardware entre VMs e código de gerenciamento de host subjacente (incluindo hipervisor). Você pode atestar suas VMs confidenciais gerenciadas no Azure com o Atestado do Azure e por conta própria. Para obter mais informações, consulte:

• Página inicial de certificação de VMs confidenciais
• Provedor de nuvem: o que é o atestado de convidado para VMs confidenciais?
• Construa você mesmo: obtenha e verifique o relatório bruto AMD SEV-SNP por si mesmo

Contêineres confidenciais em Instâncias de Contêiner do Azure

Os contêineres confidenciais nas Instâncias de Contêiner do Azure fornecem um conjunto de recursos e recursos para proteger ainda mais suas cargas de trabalho de contêiner padrão para alcançar metas mais altas de segurança de dados, privacidade de dados e integridade de código de runtime. Contêineres confidenciais são executados em um TEE com suporte de hardware que fornece recursos intrínsecos, como integridade de dados, confidencialidade de dados e integridade de código. Para obter mais informações, consulte:

• Provedor de nuvem: atestado no contêineres confidenciais nas Instâncias de Contêiner do Azure