Implementatie van een Ephemere vTPM voor Veilige Externe Attestatie in een Cloudomgeving

De snelle groei van cloud computing, gedreven door schaalbaarheid, kostenbesparing en AI, verhoogt de zorgen over dataprivacy en de integriteit van workloads. Publieke cloudproviders bieden beveiligingsfuncties zoals Trusted Execution Environments (TEEs) en virtuele TPMs (vTPMs), maar deze worden vaak gesloten aangeboden en bieden geen volledige onafhankelijke controle aan de gebruiker.

Om deze beperkingen te adresseren, introduceert het academische ontwerp SVSM-vTPM, dat draait op ultramoderne AMD SEV-SNP hardware en gebruikmaakt van VMPLs om veilige en onafhankelijke attestation mogelijk te maken. Het onderzoek evalueerde eerst de praktische haalbaarheid van dit ontwerp op de drie grootste cloudplatformen (AWS, Azure, GCP), en concludeerde dat directe implementatie momenteel niet mogelijk is.

Daarom werd het ontwerp gebruikt als referentiepunt voor een vergelijkende studie van bestaande vTPMs, waarbij Microsoft Azure naar voren kwam als het veiligste en meest complete platform tot nu toe, hoewel het nog steeds beperkingen kent en geen volledige onafhankelijkheid van de provider biedt. Voor onafhankelijke attestation werd een multi-VM opzet van confidential VMs op Azure gebruikt, ondersteund door het open-source framework Keylime. Vanwege de complexiteit van Keylime is een geautomatiseerd en reproduceerbaar systeem ontwikkeld, inclusief Ansible-scripts en infrastructuur-as-code via Pulumi, zodat organisaties dit eenvoudig kunnen toepassen op hun eigen virtuele omgevingen.

Het resultaat is een innovatieve en praktische aanpak voor onafhankelijke attestation, die theoretische inzichten combineert met een operationeel systeem en een waardevolle stap biedt richting een toekomst waarin organisaties, ook in een tijdperk van AI en strenge regelgeving zoals GDPR, zelf controle kunnen behouden over hun cloudveiligheid.