हस्ताक्षर किया गया कंटेनर इमेज कोडलैब

1. खास जानकारी

यह कोडलैब, Confidential Space के बारे में कोडलैब पर आधारित है. हस्ताक्षर की गई कंटेनर इमेज के लिए सहायता उपलब्ध है. इसमें Workload Identity Pool (WIP) की नीति में इमेज डाइजेस्ट तय करने के बजाय, पुष्टि की गई सार्वजनिक कुंजी का इस्तेमाल करके कंटेनर की पुष्टि करने का विकल्प दिया गया है.

Confidential Space में, साइन की गई कंटेनर इमेज के लिए सहायता से जुड़े क्या बदलाव हुए हैं:

इस्तेमाल करने में आसानी: साइन की गई कंटेनर इमेज की सुविधा शुरू होने के बाद, अब हम इमेज को अनुमति देने वाले सहयोगियों/ऑडिटर के लिए, वर्कलोड इमेज डाइजेस्ट के तरीके से कंटेनर सिग्नेचर के तरीके पर स्विच कर सकते हैं.

• इमेज डाइजेस्ट का सीधे तौर पर इस्तेमाल करते समय, संसाधन के मालिकों को अपनी नीतियों में इमेज डाइजेस्ट को अपडेट करना होगा. ऐसा तब करना होगा, जब वे किसी नई इमेज को अनुमति दें. इमेज के हस्ताक्षर का इस्तेमाल करने पर, नीति में सार्वजनिक कुंजी का फ़िंगरप्रिंट शामिल होता है. इसकी निजी कुंजी, सहयोगी/ऑडिटर के पास होती है. इसका इस्तेमाल, ऑडिट की गई इमेज पर हस्ताक्षर करने के लिए किया जाता है.
• कुछ सुरक्षा मॉडल के लिए, नई इमेज डाइजेस्ट वैल्यू की सूची को अपडेट करने के बजाय, भरोसेमंद इमेज साइनिंग पासकोड का रेफ़रंस देना ज़्यादा आसान होता है.

सुरक्षा से जुड़ी कोई समस्या नहीं: कंटेनर के हस्ताक्षर की इस सुविधा से, इमेज डाइजेस्ट की पिछली सुविधा की तुलना में सुरक्षा से जुड़ी कोई समस्या नहीं आएगी. ऐसा इसलिए, क्योंकि भरोसे की सीमाएं पहले जैसी ही रहेंगी. कंटेनर के हस्ताक्षर की पुष्टि करने के तरीके में, संसाधन का मालिक पुष्टि करने वाली कुंजी को अनुमति देता है. इसके लिए, वह WIP नीति में भरोसेमंद सार्वजनिक पासकोड का फ़िंगरप्रिंट तय करता है. अनुमति की जांच, Attestation Verifier Service और WIP करते हैं. Attestation Verifier Service यह पुष्टि करती है कि हस्ताक्षर, चालू वर्कलोड से जुड़ा है. साथ ही, WIP नीति यह जांच करती है कि सेवा की ओर से इस्तेमाल किया गया सार्वजनिक पासकोड, नीति के तहत अनुमति पा चुका है.

बेहतर सुरक्षा: कंटेनर इमेज के सिग्नेचर का इस्तेमाल करके, इमेज पर हस्ताक्षर करने वाले व्यक्ति को कुछ हद तक भरोसा दिया जा सकता है. अटेस्टेशन की नीति में, भरोसेमंद हस्ताक्षर करने वाले व्यक्ति की सार्वजनिक कुंजी का फ़िंगरप्रिंट तय करके, संसाधन का मालिक उस व्यक्ति को यह अनुमति देता है कि वह उन कंटेनर इमेज पर पुष्टि कर सके जो नीति का पालन करती हैं. Attestation Verifier Service यह पुष्टि करती है कि हस्ताक्षर, चालू वर्कलोड से जुड़ा है. साथ ही, नीति यह जांच करती है कि हस्ताक्षर बनाने वाली सार्वजनिक कुंजी को नीति के तहत अनुमति मिली है. इसकी मदद से, इमेज पर हस्ताक्षर करने की सुविधा से जुड़ी इंडायरेक्शन की अतिरिक्त लेयर, कॉन्फ़िडेंशियल स्पेस की सुरक्षा से जुड़ी मज़बूत गारंटी को बनाए रखती है.

इन दोनों तरीकों में सिर्फ़ यह अंतर है कि दूसरे तरीके में इंडायरेक्शन की एक अतिरिक्त लेयर का इस्तेमाल किया जाता है. इसमें वर्कलोड इमेज को साइनिंग कुंजी की मदद से अनुमति दी जाती है. इससे सुरक्षा से जुड़ी कोई नई समस्या नहीं आती, क्योंकि भरोसे की सीमाएं पहले जैसी ही रहती हैं.

आपको क्या सीखने को मिलेगा

इस कोडलैब में, आपको सुरक्षित संसाधनों का ऐक्सेस देने के लिए, कंटेनर इमेज के हस्ताक्षर का इस्तेमाल करने का तरीका बताया जाएगा:

• cosign का इस्तेमाल करके, ऑडिट की गई कंटेनर इमेज पर हस्ताक्षर करने का तरीका
• हस्ताक्षर की पहचान करने और उन्हें सेव करने के लिए, OCI रजिस्ट्री में कंटेनर इमेज के हस्ताक्षर अपलोड करने का तरीका
• कॉन्फ़िडेंशियल स्पेस को चलाने के लिए, ज़रूरी क्लाउड संसाधनों को कॉन्फ़िगर करने का तरीका
• हस्ताक्षर की गई कंटेनर इमेज की सुविधा के साथ, गोपनीय स्पेस में वर्कलोड चलाने का तरीका

इस कोडलैब में, आपको यह तरीका बताया गया है कि Google Compute Engine पर चल रही, भरोसेमंद कुंजी से साइन की गई कंटेनर इमेज को दूर से प्रमाणित करने के लिए, Confidential Space का इस्तेमाल कैसे किया जाता है.

आपको इन चीज़ों की ज़रूरत होगी

• Confidential Space कोडलैब पूरा करें
• Google Cloud Platform प्रोजेक्ट
• Chrome या Firefox जैसे ब्राउज़र
• Vim, Emacs या Nano जैसे स्टैंडर्ड Linux टेक्स्ट एडिटर के बारे में जानकारी होना
• Sigstore cosign के बारे में बुनियादी जानकारी
• Google Compute Engine ( कोडलैब), Confidential VM, कंटेनर, और रिमोट रिपॉज़िटरी के बारे में बुनियादी जानकारी
• Cloud KMS की बुनियादी जानकारी ( कोडलैब)
• सेवा खातों, वर्कलोड आइडेंटिटी फ़ेडरेशन, और एट्रिब्यूट की शर्तों के बारे में बुनियादी जानकारी.
• Artifact Registry के बारे में बुनियादी जानकारी
• डिजिटल हस्ताक्षर के बारे में बुनियादी जानकारी

हस्ताक्षर वाली कंटेनर इमेज के साथ Confidential Space में शामिल भूमिकाएं

इस कोडलैब में, Primus Bank ऑडिटर और संसाधन का मालिक होगा. इसकी ज़िम्मेदारी ये काम करना होगा:

1. सैंपल डेटा के साथ ज़रूरी संसाधन सेट अप किए जा रहे हैं.
2. वर्कलोड कोड की ऑडिट की जा रही है.
3. वर्कलोड इमेज पर हस्ताक्षर करने के लिए, cosign का इस्तेमाल किया जा रहा है.
4. हस्ताक्षर को किसी रिपॉज़िटरी में अपलोड करना.
5. ग्राहक के डेटा को सुरक्षित रखने के लिए, WIP नीति को कॉन्फ़िगर करना.

Secundus Bank, वर्कलोड का लेखक और ऑपरेटर होगा. साथ ही, इन कामों के लिए ज़िम्मेदार होगा:

1. नतीजे को सेव करने के लिए ज़रूरी संसाधन सेट अप करना.
2. वर्कलोड का कोड लिखा जा रहा है.
3. वर्कलोड इमेज पब्लिश करना.
4. हस्ताक्षर की गई कंटेनर इमेज की सुविधा के साथ, Confidential Space में वर्कलोड चलाना.

Secundus Bank, एक ऐसा वर्कलोड डेवलप और पब्लिश करेगा जो क्लाउड स्टोरेज बकेट में सेव किए गए ग्राहक के डेटा को क्वेरी करेगा. इस डेटा का मालिकाना हक Primus Bank के पास होगा. Primus Bank, वर्कलोड का ऑडिट करेगा, कंटेनर इमेज पर हस्ताक्षर करेगा, और WIP की नीतियां कॉन्फ़िगर करेगा. इससे मंज़ूरी पा चुके वर्कलोड को अपने डेटा का ऐक्सेस देने की अनुमति मिलेगी. इस वर्कलोड के एक्ज़ीक्यूशन का नतीजा, Secundus बैंक के मालिकाना हक वाली क्लाउड स्टोरेज बकेट में सेव किया जाएगा.

Confidential Space को सेटअप करने में शामिल संसाधन

इस कोडलैब में कई वैरिएबल के बारे में बताया गया है. आपको अपने GCP प्रोजेक्ट के लिए, इन वैरिएबल की वैल्यू सेट करनी चाहिए. इस कोडलैब में दिए गए निर्देशों में यह माना गया है कि इन वैरिएबल को सेट कर दिया गया है. (उदाहरण के लिए, export PRIMUS_INPUT_STORAGE_BUCKET='my-input-bucket' का इस्तेमाल Primus बैंक के इनपुट स्टोरेज बकेट का नाम सेट करने के लिए किया जा सकता है.) अगर संसाधन के नामों के वैरिएबल सेट नहीं किए गए हैं, तो यह GCP प्रोजेक्ट-आईडी के आधार पर जनरेट होगा.

Primus प्रोजेक्ट में ये कॉन्फ़िगर करें:

• $PRIMUS_INPUT_STORAGE_BUCKET: वह बकेट जिसमें ग्राहक के डेटा की फ़ाइल सेव की जाती है.
• $PRIMUS_WORKLOAD_IDENTITY_POOL: यह Workload Identity Pool (WIP) है, जो दावों की पुष्टि करता है.
• $PRIMUS_WIP_PROVIDER: यह Workload Identity Pool Provider है. इसमें Attestation Verifier Service से साइन किए गए टोकन इस्तेमाल करने के लिए, ऑथराइज़ेशन की शर्त शामिल होती है.
• $PRIMUS_SERVICEACCOUNT: यह वह सेवा खाता है जिसका इस्तेमाल $PRIMUS_WORKLOAD_IDENTITY_POOL, सुरक्षित किए गए संसाधनों को ऐक्सेस करने के लिए करता है. इस चरण में, इसके पास $PRIMUS_INPUT_STORAGE_BUCKET बकेट में सेव किया गया ग्राहक डेटा देखने की अनुमति होती है.
• $PRIMUS_ENC_KEY: $PRIMUS_INPUT_STORAGE_BUCKET में सेव किए गए डेटा को एन्क्रिप्ट (सुरक्षित) करने के लिए इस्तेमाल की गई केएमएस कुंजी.

इस कोडलैब में नए रिसॉर्स:

• $PRIMUS_COSIGN_REPOSITORY: Artifact Registry, वर्कलोड इमेज के हस्ताक्षर सेव करने के लिए.
• $PRIMUS_SIGNING_KEY: यह वह KMS कुंजी है जिसका इस्तेमाल ऑडिटर/डेटा-सहयोगियों ने वर्कलोड इमेज पर हस्ताक्षर करने के लिए किया था.उदाहरण के लिए, इस मामले में Primus Bank.

Secundus प्रोजेक्ट में ये कॉन्फ़िगर करें:

• $SECUNDUS_ARTIFACT_REGISTRY: वह Artifact Registry जहां वर्कलोड की Docker इमेज को पुश किया जाएगा.
• $WORKLOAD_IMAGE_NAME: वर्कलोड डॉकर इमेज का नाम.
• $WORKLOAD_IMAGE_TAG: वर्कलोड डॉकर इमेज का टैग.
• $WORKLOAD_SERVICEACCOUNT: वह सेवा खाता जिसके पास, वर्कलोड चलाने वाले Confidential VM को ऐक्सेस करने की अनुमति है.
• $SECUNDUS_RESULT_BUCKET: वह बकेट जिसमें वर्कलोड के नतीजे सेव किए जाते हैं.

अन्‍य संसाधन:

• primus_customer_list.csv में ग्राहक से जुड़ा डेटा होता है. हम इस डेटा को $PRIMUS_INPUT_STORAGE_BUCKET पर अपलोड करेंगे और एक ऐसा वर्कलोड बनाएंगे जो इस डेटा को क्वेरी करेगा.

मौजूदा वर्कफ़्लो

कॉन्फ़िडेंशियल स्पेस में वर्कलोड चलाने पर, कॉन्फ़िगर किए गए संसाधनों का इस्तेमाल करके यह प्रोसेस पूरी की जाती है:

1. वर्कलोड, WIP से $PRIMUS_SERVICEACCOUNT के लिए सामान्य Google ऐक्सेस टोकन का अनुरोध करता है. यह वर्कलोड और एनवायरमेंट के दावों के साथ, Attestation Verifier सेवा टोकन उपलब्ध कराता है.
2. अगर Attestation Verifier सेवा टोकन में वर्कलोड मेज़रमेंट के दावे, WIP में एट्रिब्यूट की शर्त से मेल खाते हैं, तो यह $PRIMUS_SERVICEACCOUNT. के लिए ऐक्सेस टोकन दिखाता है
3. वर्कलोड, $PRIMUS_SERVICEACCOUNT से जुड़े सेवा खाते के ऐक्सेस टोकन का इस्तेमाल करके, $PRIMUS_INPUT_STORAGE_BUCKET बकेट में मौजूद ग्राहक के डेटा को ऐक्सेस करता है.
4. वर्कलोड, उस डेटा पर कार्रवाई करता है.
5. वर्कलोड, $WORKLOAD_SERVICEACCOUNT सेवा खाते का इस्तेमाल करके, उस ऑपरेशन के नतीजों को $SECUNDUS_RESULT_STORAGE_BUCKET बकेट में लिखता है.

हस्ताक्षर किए गए कंटेनर के साथ नया वर्कफ़्लो

हस्ताक्षर किए गए कंटेनर की सुविधा को मौजूदा वर्कफ़्लो में इंटिग्रेट किया जाएगा. इसके बारे में यहां बताया गया है. हस्ताक्षर की गई कंटेनर इमेज की सुविधा के साथ Confidential Space में वर्कलोड चलाने पर, कॉन्फ़िगर किए गए संसाधनों का इस्तेमाल करके यह प्रोसेस पूरी की जाती है:

1. गोपनीय स्पेस, चालू वर्कलोड इमेज से जुड़े किसी भी कंटेनर के हस्ताक्षर का पता लगाता है. इसके बाद, इन्हें पुष्टि करने वाले व्यक्ति या इकाई को भेजता है. पुष्टि करने वाला व्यक्ति, हस्ताक्षर की पुष्टि करता है. साथ ही, पुष्टि करने के दावों में मान्य हस्ताक्षर शामिल करता है.
2. वर्कलोड, WIP से $PRIMUS_SERVICEACCOUNT के लिए सामान्य Google ऐक्सेस टोकन का अनुरोध करता है. यह वर्कलोड और एनवायरमेंट के दावों के साथ, Attestation Verifier सेवा टोकन उपलब्ध कराता है.
3. अगर Attestation Verifier सेवा टोकन में मौजूद कंटेनर के हस्ताक्षर, WIP में मौजूद एट्रिब्यूट की शर्त से मेल खाते हैं, तो यह $PRIMUS_SERVICEACCOUNT के लिए ऐक्सेस टोकन दिखाता है.
4. वर्कलोड, $PRIMUS_SERVICEACCOUNT से जुड़े सेवा खाते के ऐक्सेस टोकन का इस्तेमाल करके, $PRIMUS_INPUT_STORAGE_BUCKET बकेट में मौजूद ग्राहक के डेटा को ऐक्सेस करता है.
5. वर्कलोड, उस डेटा पर कार्रवाई करता है.
6. वर्कलोड, $WORKLOAD_SERVICEACCOUNT का इस्तेमाल करके उस कार्रवाई के नतीजों को $SECUNDUS_RESULT_STORAGE_BUCKET बकेट में लिखता है.

2. क्लाउड संसाधन सेट अप करना

कॉन्फ़िडेंशियल स्पेस सेटअप करने के लिए, सबसे पहले आपको Primus और Secundus बैंक के GCP प्रोजेक्ट में ज़रूरी क्लाउड संसाधन बनाने होंगे. इस कोडलैब में ये नए संसाधन शामिल किए गए हैं:

Primus प्रोजेक्ट में:

• कोड की ऑडिट करने के बाद, Secundus वर्कलोड को साइन करने के लिए इस्तेमाल की गई केएमएस साइनिंग कुंजी.
• Cosign के हस्ताक्षर सेव करने के लिए, Artifact Registry रिपॉज़िटरी.

Secundus प्रोजेक्ट में कोई नया संसाधन नहीं है. इन संसाधनों को सेट अप करने के बाद, ज़रूरी भूमिकाओं और अनुमतियों के साथ वर्कलोड के लिए एक सेवा खाता बनाया जाएगा. इसके बाद, आपको वर्कलोड इमेज बनानी होगी. साथ ही, ऑडिटर, प्राइमस बैंक को वर्कलोड इमेज पर हस्ताक्षर करने होंगे. इसके बाद, डेटा-सहयोगियों (इस कोडलैब में Primus बैंक) से वर्कलोड को अनुमति मिलेगी. साथ ही, वर्कलोड ऑपरेटर (इस मामले में Secundus Bank) वर्कलोड को चलाएगा.

Confidential Space सेटअप करने के दौरान, आपको Primus और Secundus GCP प्रोजेक्ट में ज़रूरी क्लाउड संसाधन बनाने होंगे.

शुरू करने से पहले

• इस कोडलैब में इस्तेमाल की जाने वाली ज़रूरी स्क्रिप्ट पाने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करके इस रिपॉज़िटरी को क्लोन करें.

git clone https://github.com/GoogleCloudPlatform/confidential-space

• इस कोडलैब के लिए डायरेक्ट्री बदलें.

cd confidential-space/codelabs/signed_container_codelab/scripts

• पक्का करें कि आपने नीचे दिखाए गए तरीके से ज़रूरी प्रोजेक्ट सेट किए हों.

export PRIMUS_PROJECT_ID=<GCP project id of primus bank>
export SECUNDUS_PROJECT_ID=<GCP project id of secundus bank>

• ऊपर बताए गए संसाधन के नामों के लिए, इस कमांड का इस्तेमाल करके वैरिएबल सेट करें. इन वैरिएबल (जैसे, export PRIMUS_INPUT_STORAGE_BUCKET='my-input-bucket') का इस्तेमाल करके, संसाधन के नामों को बदला जा सकता है
• संसाधन के नामों के लिए, अपने प्रोजेक्ट आईडी के आधार पर बाकी बचे वैरिएबल के नामों को वैल्यू पर सेट करने के लिए, यहां दी गई स्क्रिप्ट चलाएं.

source config_env.sh

• यहां दिए गए निर्देशों का पालन करके, cosign इंस्टॉल करें.

Primus बैंक के संसाधन सेट अप करना

इस चरण के तहत, आपको Primus बैंक के लिए ज़रूरी क्लाउड संसाधन सेट अप करने होंगे. Primus बैंक के लिए संसाधन सेट अप करने के लिए, यह स्क्रिप्ट चलाएं. इन चरणों के तहत, यहां दिए गए संसाधन बनाए जाएंगे:

• Primus बैंक के एन्क्रिप्ट (सुरक्षित) किए गए ग्राहक डेटा की फ़ाइल को सेव करने के लिए Cloud Storage बकेट ($PRIMUS_INPUT_STORAGE_BUCKET).
• प्राइमस बैंक की डेटा फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के लिए, KMS में एन्क्रिप्शन की ($PRIMUS_ENC_KEY) और कीरिंग ($PRIMUS_ENC_KEYRING).
• Workload Identity Pool ($PRIMUS_WORKLOAD_IDENTITY_POOL), जो अपने प्रोवाइडर के तहत कॉन्फ़िगर की गई एट्रिब्यूट की शर्तों के आधार पर दावों की पुष्टि करता है.
• ऊपर बताए गए वर्कलोड आइडेंटिटी पूल ($PRIMUS_WORKLOAD_IDENTITY_POOL) से जुड़ा सेवा खाता ($PRIMUS_SERVICEACCOUNT), जिसके पास IAM का यह ऐक्सेस है:
• roles/cloudkms.cryptoKeyDecrypter का इस्तेमाल करके डेटा को डिक्रिप्ट किया जाता है.
• objectViewer को क्लाउड स्टोरेज बकेट से डेटा पढ़ने की अनुमति दें.
• roles/iam.workloadIdentityUser का इस्तेमाल करके, इस सेवा खाते को Workload Identity Pool से कनेक्ट करें.

./setup_primus_bank_resources.sh

Secundus बैंक के संसाधन सेट अप करना

इस चरण के तहत, आपको Secundus बैंक के लिए ज़रूरी क्लाउड संसाधन सेट अप करने होंगे. Secundus बैंक के लिए संसाधन सेट अप करने के लिए, यह स्क्रिप्ट चलाएं. इस चरण के तहत, नीचे दिए गए संसाधन बनाए जाएंगे:

• Cloud Storage बकेट ($SECUNDUS_RESULT_STORAGE_BUCKET), जिसका इस्तेमाल Secundus बैंक, वर्कलोड के एक्ज़ीक्यूशन के नतीजे को सेव करने के लिए करता है.

./setup_secundus_bank_resources.sh

3. वर्कलोड बनाना और उस पर हस्ताक्षर करना

वर्कलोड सेवा खाता बनाना

अब, ज़रूरी भूमिकाओं और अनुमतियों के साथ वर्कलोड के लिए एक सेवा खाता बनाएं. Secundus बैंक प्रोजेक्ट में वर्कलोड सेवा खाता बनाने के लिए, यहां दी गई स्क्रिप्ट चलाएं. इस सेवा खाते का इस्तेमाल, वर्कलोड चलाने वाले वीएम के लिए किया जाएगा.

• इस वर्कलोड सेवा खाते ($WORKLOAD_SERVICEACCOUNT) के पास ये भूमिकाएं होंगी:
• confidentialcomputing.workloadUser का इस्तेमाल करके, पुष्टि करने वाला टोकन पाएं
• logging.logWriter Cloud Logging में लॉग लिखने के लिए.
• objectViewer क्लाउड स्टोरेज बकेट से डेटा पढ़ने के लिए $PRIMUS_INPUT_STORAGE_BUCKET.
• objectAdmin को $SECUNDUS_RESULT_STORAGE_BUCKET क्लाउड स्टोरेज बकेट में वर्कलोड का नतीजा लिखने की अनुमति दें.

./create_workload_serviceaccount.sh

वर्कलोड बनाना

इस चरण में, आपको वर्कलोड की डॉकर इमेज बनानी होगी. इस कोडलैब में इस्तेमाल किया गया वर्कलोड, CLI पर आधारित एक सामान्य Go ऐप्लिकेशन है. यह ऐप्लिकेशन, Primus बैंक के ग्राहक डेटा से मिले किसी इलाके के ग्राहकों की संख्या का हिसाब लगाता है. नीचे दी गई स्क्रिप्ट चलाकर, ऐसा वर्कलोड बनाएं जिसमें ये चरण पूरे किए जा रहे हों:

• Secundus बैंक के मालिकाना हक वाला Artifact Registry($SECUNDUS_ARTIFACT_REGISTRY) बनाएं.
• ज़रूरी संसाधनों के नाम के साथ वर्कलोड कोड अपडेट करें. इस कोडलैब के लिए इस्तेमाल किया गया वर्कलोड कोड यहां दिया गया है.
• Go बाइनरी बनाएं और वर्कलोड कोड की डॉकर इमेज बनाने के लिए Dockerfile बनाएं. इस कोडलैब के लिए इस्तेमाल की गई Dockerfile यहां दी गई है.
• सेकंडस बैंक के मालिकाना हक वाले Artifact Registry ($SECUNDUS_ARTIFACT_REGISTRY) में Docker इमेज बनाएं और उसे पब्लिश करें.
• $SECUNDUS_ARTIFACT_REGISTRY के लिए, $WORKLOAD_SERVICEACCOUNT को पढ़ने की अनुमति दें. इसकी ज़रूरत इसलिए होती है, ताकि वर्कलोड कंटेनर, Artifact Registry से वर्कलोड डॉकर इमेज को पुल कर सके.

./create_workload.sh

वर्कलोड पर हस्ताक्षर करना

हम वर्कलोड इमेज पर हस्ताक्षर करने के लिए, Cosign का इस्तेमाल करेंगे. Cosign, डिफ़ॉल्ट रूप से हस्ताक्षर को उसी रेपो में सेव करेगा जिसमें इमेज सेव है. अगर आपको हस्ताक्षर के लिए कोई दूसरी रिपॉज़िटरी तय करनी है, तो COSIGN_REPOSITORY एनवायरमेंट वैरिएबल सेट करें.

यहां हम Artifact Registry का इस्तेमाल उदाहरण के तौर पर करेंगे. अपनी पसंद के हिसाब से, OCI पर आधारित अन्य रजिस्ट्री भी चुनी जा सकती हैं. जैसे, Docker Hub और AWS CodeArtifact.

1. Artifact Registry में Docker डेटाबेस बनाएं.

gcloud config set project $PRIMUS_PROJECT_ID

gcloud artifacts repositories create $PRIMUS_COSIGN_REPOSITORY \
  --repository-format=docker --location=${PRIMUS_PROJECT_REPOSITORY_REGION}

2. वर्कलोड इमेज पर हस्ताक्षर करने के लिए, KMS में एक कीरिंग और कुंजी बनाएं.

gcloud config set project $PRIMUS_PROJECT_ID

gcloud kms keyrings create $PRIMUS_SIGNING_KEYRING \
  --location=${PRIMUS_PROJECT_LOCATION}

gcloud kms keys create $PRIMUS_SIGNING_KEY \
  --keyring=$PRIMUS_SIGNING_KEYRING \
  --purpose=asymmetric-signing \
  --default-algorithm=ec-sign-p256-sha256 \
  --location=${PRIMUS_PROJECT_LOCATION}

3. Artifact Registry के लिए, पूरी इमेज का नाम ज़रूरी है. जैसे, $LOCATION/$PROJECT/$REPOSITORY/$IMAGE_NAME. हस्ताक्षर को सेव करने के लिए, रिपॉज़िटरी में कोई भी कंटेनर इमेज अपलोड की जा सकती है.

export COSIGN_REPOSITORY=us-docker.pkg.dev/${PRIMUS_PROJECT_ID}/${PRIMUS_COSIGN_REPOSITORY}/demo

4. $PRIMUS_COSIGN_REPOSITORY सेवा खाते को $PRIMUS_COSIGN_REPOSITORY रिपॉज़िटरी में व्यूअर की भूमिका असाइन करें.$WORKLOAD_SERVICEACCOUNT इससे कॉन्फ़िडेंशियल स्पेस को, $PRIMUS_COSIGN_REPOSITORY पर अपलोड किए गए किसी भी कंटेनर इमेज सिग्नेचर का पता लगाने की अनुमति मिलती है.

gcloud artifacts repositories add-iam-policy-binding ${PRIMUS_COSIGN_REPOSITORY} \
--project=${PRIMUS_PROJECT_ID} --role='roles/viewer' --location=us \
--member="serviceAccount:${WORKLOAD_SERVICEACCOUNT}@${SECUNDUS_PROJECT_ID}.iam.gserviceaccount.com"

Cosign एक बेहतरीन टूल है. इसमें हस्ताक्षर करने की कई सुविधाएं उपलब्ध हैं. हमारे इस्तेमाल के उदाहरण के लिए, हमें सिर्फ़ Cosign की ज़रूरत होती है, ताकि हम कुंजी के जोड़े से साइन कर सकें. हस्ताक्षर किए गए कंटेनर इमेज की इस सुविधा के लिए, बिना कुंजी के हस्ताक्षर करने की सुविधा काम नहीं करती.

कुंजी के जोड़े से साइन करने के दो विकल्प होते हैं:

1. Cosign से जनरेट किए गए लोकल कुंजी के जोड़े से साइन करें.
2. किसी ऐसे कुंजी जोड़े से हस्ताक्षर करें जिसे कहीं और सेव किया गया हो. उदाहरण के लिए, KMS में.

1. अगर आपके पास कोई कुंजी जोड़ी नहीं है, तो Cosign में एक कुंजी जोड़ी जनरेट करें. ज़्यादा जानकारी के लिए, सेल्फ़-मैनेज की गई कुंजियों से साइन करना लेख पढ़ें. यहां हमने कुंजी-जोड़ी जनरेट करने और वर्कलोड पर हस्ताक्षर करने के दोनों तरीके (स्थानीय तौर पर और KMS सेवा देने वाली कंपनी का इस्तेमाल करके) बताए हैं. कृपया वर्कलोड कंटेनर पर हस्ताक्षर करने के लिए, इनमें से किसी एक तरीके का पालन करें.

// Set Application Default Credentials.
gcloud auth application-default login 

// Generate keys using a KMS provider.
cosign generate-key-pair --kms <provider>://<key>

// Generate keys using Cosign.
cosign generate-key-pair

ऊपर दिए गए <provider>://<key> को gcpkms://projects/$PRIMUS_PROJECT_ID/locations/global/keyRings/$PRIMUS_SIGNING_KEYRING/cryptoKeys/$PRIMUS_SIGNING_KEY/cryptoKeyVersions/$PRIMUS_SIGNING_KEYVERSION से बदलें

• <provider> : इसका मतलब है कि आप जिस KMS का इस्तेमाल कर रहे हैं
• <key> : इसका मतलब है कि केएमएस में मौजूद कुंजी का पाथ

2. पुष्टि करने के लिए सार्वजनिक पासकोड वापस पाएं.

// For KMS providers.
cosign public-key --key <some provider>://<some key> > pub.pem

// For local key pair signing.
cosign public-key --key cosign.key > pub.pem

3. Cosign का इस्तेमाल करके वर्कलोड पर हस्ताक्षर करें. सार्वजनिक कुंजी को unpadded base64 में कोड में बदलें

PUB=$(cat pub.pem | openssl base64)

// Remove spaces and trailing "=" signs.
PUB=$(echo $PUB | tr -d '[:space:]' | sed 's/[=]*$//')

4. एक्सपोर्ट की गई सार्वजनिक कुंजी और अटैच किए गए हस्ताक्षर एल्गोरिदम का इस्तेमाल करके, Cosign की मदद से वर्कलोड पर हस्ताक्षर करें.

IMAGE_REFERENCE=us-docker.pkg.dev/$SECUNDUS_PROJECT_ID/$SECUNDUS_ARTIFACT_REPOSITORY/$WORKLOAD_IMAGE_NAME:$WORKLOAD_IMAGE_TAG

// Sign with KMS support.
cosign sign --key <some provider>://<some key> $IMAGE_REFERENCE \
-a dev.cosignproject.cosign/sigalg=ECDSA_P256_SHA256 \
-a dev.cosignproject.cosign/pub=$PUB

// Sign with a local key pair.
cosign sign --key cosign.key $IMAGE_REFERENCE \
-a dev.cosignproject.cosign/sigalg=ECDSA_P256_SHA256 \
-a dev.cosignproject.cosign/pub=$PUB

• --key [ज़रूरी है] इससे यह तय होता है कि किस साइनिंग पासकोड का इस्तेमाल करना है. केएमएस की सेवा देने वाली कंपनी की ओर से मैनेज की गई किसी कुंजी का रेफ़रंस देते समय, कृपया Sigstore KMS की सहायता में दिया गया यूआरआई फ़ॉर्मैट इस्तेमाल करें. Cosign की जनरेट की गई कुंजी के बारे में बताने के लिए, cosign.key का इस्तेमाल करें.
• $IMAGE_REFERENCE [ज़रूरी है] इससे यह तय होता है कि किस कंटेनर इमेज पर हस्ताक्षर करना है. IMAGE_REFERENCE के फ़ॉर्मैट की पहचान टैग या इमेज डाइजेस्ट से की जा सकती है. उदाहरण के लिए: us-docker.pkg.dev/$SECUNDUS_PROJECT_ID/secundus-workloads/workload-container:latest or us-docker.pkg.dev/$SECUNDUS_PROJECT_ID/secundus-workloads/workload-container[IMAGE-digest]
• -a [REQUIRED] से, हस्ताक्षर वाले पेलोड से जुड़े एनोटेशन के बारे में पता चलता है. Confidential Space में साइन की गई कंटेनर इमेज के लिए, सार्वजनिक पासकोड और हस्ताक्षर एल्गोरिदम को हस्ताक्षर पेलोड से अटैच करना ज़रूरी है.

• dev.cosignproject.cosign/sigalg सिर्फ़ के लिए, ये तीन वैल्यू इस्तेमाल की जा सकती हैं:
• RSASSA_PSS_SHA256: RSASSA एल्गोरिदम, जिसमें SHA256 डाइजेस्ट के साथ PSS पैडिंग होती है.
• RSASSA_PKCS1V15_SHA256: यह RSASSA एल्गोरिदम है. इसमें PKCS#1 v1.5 पैडिंग का इस्तेमाल किया जाता है. साथ ही, इसमें SHA256 डाइजेस्ट का इस्तेमाल किया जाता है.
• ECDSA_P256_SHA256: ECDSA on the P-256 Curve with a SHA256 digest. यह Cosign से जनरेट किए गए कुंजी के जोड़े के लिए, डिफ़ॉल्ट सिग्नेचर एल्गोरिदम भी है.

5. Docker रिपॉज़िटरी में हस्ताक्षर अपलोड करना

Cosign की सुविधा, चुने गए COSIGN_REPOSITORY. पर हस्ताक्षर अपने-आप अपलोड कर देगी

4. वर्कलोड को अनुमति देना और उसे चलाना

वर्कलोड को अनुमति देना

इस चरण के तहत, हम Workload Identity Pool ($PRIMUS_WORKLOAD_IDENTITY_POOL) में Workload Identity Provider सेट अप करेंगे. Workload Identity के लिए, एट्रिब्यूट-कंडीशन कॉन्फ़िगर की गई हैं. इन्हें यहां दिखाया गया है. इनमें से एक शर्त यह है कि वर्कलोड इमेज के हस्ताक्षर के फ़िंगरप्रिंट की पुष्टि, हस्ताक्षर करने वाले सार्वजनिक पासकोड के फ़िंगरप्रिंट से की जाए. इस एट्रिब्यूट की शर्त के साथ, जब Secundus Bank नई वर्कलोड इमेज रिलीज़ करता है, तो Primus Bank वर्कलोड कोड की ऑडिट करता है. साथ ही, इमेज डाइजेस्ट के साथ WIP नीति को अपडेट किए बिना, नई वर्कलोड इमेज पर हस्ताक्षर करता है.

gcloud config set project $PRIMUS_PROJECT_ID

PUBLIC_KEY_FINGERPRINT=$(openssl pkey -pubin -in pub.pem -outform DER | openssl sha256 | cut -d' ' -f2)

gcloud iam workload-identity-pools providers create-oidc ${PRIMUS_WIP_PROVIDER} \
   --location="global" \
   --workload-identity-pool="${PRIMUS_WORKLOAD_IDENTITY_POOL}" \
   --issuer-uri="https://confidentialcomputing.googleapis.com/" \
   --allowed-audiences="https://sts.googleapis.com" \
   --attribute-mapping="google.subject='assertion.sub'" \
   --attribute-condition="assertion.swname == 'CONFIDENTIAL_SPACE' &&
  'STABLE' in assertion.submods.confidential_space.support_attributes
     && '${WORKLOAD_SERVICEACCOUNT}@${SECUNDUS_PROJECT_ID}.iam.gserviceaccount.com' in
     assertion.google_service_accounts
     && ['ECDSA_P256_SHA256:${PUBLIC_KEY_FINGERPRINT}']
       .exists(fingerprint, fingerprint in assertion.submods.container.image_signatures.map(sig,sig.signature_algorithm+':'+sig.key_id))"

वर्कलोड चलाना

इस चरण के तहत, हम कॉन्फ़िडेंशियल वीएम पर वर्कलोड चलाएंगे. ज़रूरी टीईई आर्ग्युमेंट, मेटाडेटा फ़्लैग का इस्तेमाल करके पास किए जाते हैं. वर्कलोड कंटेनर के लिए आर्ग्युमेंट, फ़्लैग के "tee-cmd" हिस्से का इस्तेमाल करके पास किए जाते हैं. वर्कलोड को इस तरह से कोड किया गया है कि वह अपने नतीजे $SECUNDUS_RESULT_STORAGE_BUCKET पर पब्लिश कर सके.

gcloud compute instances create ${WORKLOAD_VM} \
 --confidential-compute-type=SEV \
 --shielded-secure-boot \
 --maintenance-policy=MIGRATE \
 --scopes=cloud-platform \
 --zone=${SECUNDUS_PROJECT_ZONE} \
 --project=${SECUNDUS_PROJECT_ID} \
 --image-project=confidential-space-images \
 --image-family=confidential-space \
 --service-account=${WORKLOAD_SERVICEACCOUNT}@${SECUNDUS_PROJECT_ID}.iam.gserviceaccount.com \
 --metadata "^~^tee-image-reference=us-docker.pkg.dev/${SECUNDUS_PROJECT_ID}/${SECUNDUS_ARTIFACT_REPOSITORY}/${WORKLOAD_IMAGE_NAME}:${WORKLOAD_IMAGE_TAG}~tee-restart-policy=Never~tee-cmd="[\"count-location\",\"Seattle\",\"gs://${SECUNDUS_RESULT_STORAGE_BUCKET}/seattle-result\"]"~tee-signed-image-repos=us-docker.pkg.dev/${PRIMUS_PROJECT_ID}/${PRIMUS_COSIGN_REPOSITORY}/demo"

नतीजे देखें

Secundus प्रोजेक्ट में, वर्कलोड के नतीजे देखें.

gcloud config set project $SECUNDUS_PROJECT_ID

gsutil cat gs://$SECUNDUS_RESULT_STORAGE_BUCKET/seattle-result

नतीजा 3 होना चाहिए, क्योंकि primus_customer_list.csv फ़ाइल में सिऐटल के इतने ही लोगों के नाम शामिल हैं!

5. क्लीन अप करें

इस कोडलैब के हिस्से के तौर पर बनाए गए संसाधनों को हटाने के लिए, यहां दी गई स्क्रिप्ट का इस्तेमाल किया जा सकता है. सफ़ाई की इस प्रोसेस के तहत, ये संसाधन मिटा दिए जाएंगे:

• Primus बैंक का इनपुट स्टोरेज बकेट ($PRIMUS_INPUT_STORAGE_BUCKET).
• Primus बैंक का सेवा खाता ($PRIMUS_SERVICEACCOUNT).
• Primus Bank की आर्टफ़ैक्ट रजिस्ट्री, जिसमें इमेज के सिग्नेचर ($PRIMUS_COSIGN_REPOSITORY) मौजूद हैं.
• Primus Bank का वर्कलोड आइडेंटिटी पूल ($PRIMUS_WORKLOAD_IDENTITY_POOL).
• Secundus Bank ($WORKLOAD_SERVICEACCOUNT) का वर्कलोड सेवा खाता.
• Workload Compute Instance.
• सेकंडस बैंक ($SECUNDUS_RESULT_STORAGE_BUCKET) का नतीजा सेव करने वाला स्टोरेज बकेट.
• सेकंडस बैंक की आर्टफ़ैक्ट रजिस्ट्री ($SECUNDUS_ARTIFACT_REGISTRY).
• Secundus Bank की वर्कलोड वीएम ($WORKLOAD_VM).

./cleanup.sh

अगर आपने एक्सप्लोर कर लिया है, तो कृपया अपना प्रोजेक्ट मिटा दें.

• Cloud Platform Console पर जाएं
• वह प्रोजेक्ट चुनें जिसे बंद करना है. इसके बाद, सबसे ऊपर मौजूद ‘मिटाएं' पर क्लिक करें: इससे प्रोजेक्ट को मिटाने के लिए शेड्यूल किया जाता है

बधाई हो

बधाई हो, आपने कोडलैब पूरा कर लिया है!

आपने गोपनीय स्पेस को ज़्यादा आसानी से इस्तेमाल करने के लिए, साइन की गई कंटेनर इमेज की सुविधा का इस्तेमाल करने का तरीका सीखा.

आगे क्या करना है?

इस तरह के कुछ और कोडलैब देखें...

• Confidential Space में वैसा डेटा जो ऐक्टिव है, को सुरक्षित रखें
• मल्टी-पार्टी कंप्यूटेशन और Confidential Space की मदद से, डिजिटल ऐसेट का लेन-देन कैसे करें
• Confidential Space की मदद से गोपनीय डेटा का विश्लेषण करना

इस बारे में और पढ़ें

• क्या आपको अकेलापन महसूस हो रहा है? Confidential computing की मदद से डेटा को सुरक्षित रखना
• GCP में Confidential Computing
• गोपनीय स्पेस: निजता बनाए रखने के साथ मिलकर काम करने की सुविधा का भविष्य
• Google और Intel, कॉन्फ़िडेंशियल कंप्यूटिंग को ज़्यादा सुरक्षित कैसे बनाते हैं
• निजता बनाम प्रोग्रेस - Google Cloud की कॉन्फ़िडेंशियल कंप्यूटिंग की मदद से सुरक्षा को बेहतर बनाना