১. সংক্ষিপ্ত বিবরণ
কনফিডেনশিয়াল স্পেস নিরাপদ বহু-পক্ষীয় ডেটা শেয়ারিং এবং সহযোগিতার সুযোগ দেয়, পাশাপাশি প্রতিষ্ঠানগুলোকে তাদের ডেটার গোপনীয়তা বজায় রাখতেও সাহায্য করে। এর অর্থ হলো, প্রতিষ্ঠানগুলো তাদের ডেটার ওপর নিয়ন্ত্রণ বজায় রেখে এবং অননুমোদিত প্রবেশ থেকে এটিকে সুরক্ষিত রেখেই একে অপরের সাথে সহযোগিতা করতে পারে।
কনফিডেনশিয়াল স্পেস এমন সব পরিস্থিতি উন্মোচন করে, যেখানে আপনি সংবেদনশীল ও প্রায়শই নিয়ন্ত্রিত ডেটা একত্রিত ও বিশ্লেষণ করে পারস্পরিক সুবিধা অর্জন করতে চান এবং একই সাথে সেটির উপর সম্পূর্ণ নিয়ন্ত্রণ বজায় রাখতে চান। কনফিডেনশিয়াল স্পেসের মাধ্যমে প্রতিষ্ঠানগুলো ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য (PII), সুরক্ষিত স্বাস্থ্য তথ্য (PHI), মেধা সম্পত্তি এবং ক্রিপ্টোগ্রাফিক গোপনীয়তার মতো সংবেদনশীল ডেটা একত্রিত ও বিশ্লেষণ করে পারস্পরিক সুবিধা অর্জন করতে পারে — এবং একই সাথে সেটির উপর সম্পূর্ণ নিয়ন্ত্রণ বজায় রাখতে পারে।
আপনার যা যা লাগবে
- দুটি পৃথক গুগল ক্লাউড প্ল্যাটফর্ম প্রকল্প
- একটি ব্রাউজার, যেমন ক্রোম বা ফায়ারফক্স
- গুগল কম্পিউট ইঞ্জিন , কনফিডেনশিয়াল ভিএম , কন্টেইনার ও রিমোট রিপোজিটরি, সার্টিফিকেট এবং সার্টিফিকেট চেইন সম্পর্কে প্রাথমিক জ্ঞান।
- সার্ভিস অ্যাকাউন্ট , ওপেন পলিসি এজেন্ট , রেগো এবং পাবলিক কী ইনফ্রাস্ট্রাকচার সম্পর্কে প্রাথমিক জ্ঞান।
আপনি যা শিখবেন
- কনফিডেনশিয়াল স্পেস চালানোর জন্য প্রয়োজনীয় ক্লাউড রিসোর্সগুলি কীভাবে কনফিগার করবেন
- কনফিডেনশিয়াল স্পেস ইমেজ চালিত একটি কনফিডেনশিয়াল ভিএম-এ কীভাবে একটি ওয়ার্কলোড চালানো যায়
- ওয়ার্কলোড কোডের বৈশিষ্ট্য ( কী ), কনফিডেনশিয়াল স্পেস এনভায়রনমেন্ট ( কোথায় ) এবং যে অ্যাকাউন্টটি ওয়ার্কলোডটি চালাচ্ছে ( কে ) তার উপর ভিত্তি করে সুরক্ষিত রিসোর্সগুলিতে অ্যাক্সেসের অনুমোদন কীভাবে দেবেন।
এই কোডল্যাবটি গুগল ক্লাউড ছাড়া অন্য কোথাও হোস্ট করা সুরক্ষিত রিসোর্সগুলির সাথে কনফিডেনশিয়াল স্পেস কীভাবে ব্যবহার করতে হয়, তার উপর আলোকপাত করে। আপনি শিখবেন কীভাবে একটি ননস (nonce), অডিয়েন্স (audience) এবং পিকেআই (PKI) টোকেন টাইপ প্রদান করে গুগল অ্যাটেস্টেশন সার্ভিস (Google Attestation Service) থেকে একটি কাস্টম, স্বয়ংসম্পূর্ণ টোকেনের জন্য অনুরোধ করতে হয়।
এই কোডল্যাবে, আপনি আপনার ঘুমের গুণমান গণনা করার জন্য একটি কাল্পনিক পণ্য—USleep (একটি কন্টেইনারাইজড অ্যাপ্লিকেশন) এবং একটি কাল্পনিক পণ্য—UWear (একটি সংযুক্ত পরিধানযোগ্য ডিভাইস)-এর মধ্যে একটি গোপনীয় পরিসর (Confidential Space) স্থাপন করবেন। UWear একটি নিরাপদ, সুরক্ষিত এবং বিচ্ছিন্ন পরিবেশে (যাকে ট্রাস্টেড এক্সিকিউশন এনভায়রনমেন্ট বা TEE বলা হয়) USleep-এর সাথে সুরক্ষিত স্বাস্থ্য তথ্য (PHI) শেয়ার করবে, যাতে ডেটার মালিকরা সম্পূর্ণ গোপনীয়তা বজায় রাখতে পারেন।
UWear একই সাথে ওয়ার্কলোড অডিটর এবং ডেটা ওনার । ওয়ার্কলোড অডিটর হিসেবে, এটি চলমান ওয়ার্কলোডের কোড পর্যালোচনা করে এবং ইমেজ ডাইজেস্টটি নোট করে রাখে। ডেটা ওনার হিসেবে, UWear টোকেন এবং এর সিগনেচারের বৈধতা যাচাই করার জন্য ভেরিফিকেশন লজিক লেখে। এটি অডিট করা ওয়ার্কলোডের ইমেজ ডাইজেস্ট ব্যবহার করে একটি ভ্যালিডেশন পলিসি তৈরি করে, যা একটি নির্দিষ্ট পরিবেশে শুধুমাত্র নির্দিষ্ট ইমেজ ডাইজেস্টকেই সংবেদনশীল ডেটা অ্যাক্সেস করার অনুমতি দেয়।
এই কোডল্যাবে USleep কন্টেইনারাইজড অ্যাপ্লিকেশনটি ডেপ্লয় করছে। USleep-এর সংবেদনশীল ডেটাতে অ্যাক্সেস নেই, কিন্তু এটি অনুমোদিত ওয়ার্কলোডটি চালায়, যেটিকে সংবেদনশীল ডেটাতে অ্যাক্সেসের অনুমতি দেওয়া হয়েছে।
কোডল্যাবটিতে নিম্নলিখিত ধাপগুলো অন্তর্ভুক্ত রয়েছে:
- ধাপ ১: কোডল্যাবের জন্য প্রয়োজনীয় ক্লাউড রিসোর্স সেট আপ করুন। প্রজেক্ট, বিলিং এবং পারমিশন সেট আপ করুন। কোডল্যাবের সোর্স কোড ডাউনলোড করুন এবং এনভায়রনমেন্ট ভেরিয়েবল সেট করুন।
- ধাপ ২: রুট সার্টিফিকেটটি ডাউনলোড করুন এবং আপনার UWear সোর্স কোডের সাথে সংরক্ষণ করুন।
- ধাপ ৩: আলাদা ওয়ার্কলোড সার্ভিস অ্যাকাউন্ট তৈরি করুন, যেগুলো ওয়ার্কলোড ভিএম USleep এবং UWear-এর জন্য ব্যবহার করবে।
- ধাপ ৪: USleep ওয়ার্কলোডটি তৈরি করুন যা একটি অ্যাটেস্টেশন টোকেন প্রদান করে।
- ধাপ ৫: এমন একটি UWear ওয়ার্কলোড তৈরি করুন যা অ্যাটেস্টেশন টোকেনটি যাচাই করে এবং টোকেনটি অনুমোদিত হলে সংবেদনশীল ডেটা প্রেরণ করে।
- ধাপ ৬: USleep এবং UWear ওয়ার্কলোডগুলো চালান। UWear সংবেদনশীল ডেটা সরবরাহ করবে, এবং USleep সেই ডেটার উপর একটি স্লিপ অ্যালগরিদম চালিয়ে ফলাফল আউটপুট করবে।
- ধাপ ৭: (ঐচ্ছিক) একটি অননুমোদিত USleep ওয়ার্কলোড চালান এবং নিশ্চিত করুন যে UWear থেকে কোনো সংবেদনশীল ডেটা গ্রহণ করা হয়নি।
- ধাপ ৮: সমস্ত সম্পদ পরিষ্কার করুন।
কর্মপ্রবাহ বোঝা
USleep গোপনীয় পরিসরে ওয়ার্কলোডটি চালাবে। ওয়ার্কলোডটি চালানোর জন্য এটির UWear-এর PHI-তে অ্যাক্সেস প্রয়োজন। অ্যাক্সেস পাওয়ার জন্য, USleep ওয়ার্কলোডটি প্রথমে একটি সুরক্ষিত TLS সেশন তৈরি করে। এরপর USleep একটি পেলোড সহ Google Attestation Service-এর কাছে একটি অ্যাটেস্টেশন টোকেনের জন্য অনুরোধ করবে।
USleep একটি JSON পেলোড সহ একটি অ্যাটেস্টেশন টোকেনের জন্য অনুরোধ করবে, যেটিতে তিনটি জিনিস থাকবে:
- একটি অ্যাটেস্টেশন টোকেন যা টিএলএস সেশনের সাথে আবদ্ধ থাকে । অ্যাটেস্টেশন টোকেনটিকে টিএলএস সেশনের সাথে আবদ্ধ করার জন্য ননস ভ্যালুটি হবে টিএলএস এক্সপোর্টেড কীইং ম্যাটেরিয়ালের হ্যাশ। টোকেনটিকে টিএলএস সেশনের সাথে আবদ্ধ করা নিশ্চিত করে যে কোনো মেশিন-ইন-দ্য-মিডল অ্যাটাক ঘটছে না, কারণ শুধুমাত্র টিএলএস সেশনে জড়িত দুটি পক্ষই ননস ভ্যালুটি তৈরি করতে সক্ষম হবে।
- "uwear" নামের একটি অডিয়েন্স প্রদান করা হবে। UWear যাচাই করবে যে অ্যাটেস্টেশন টোকেনটির জন্য এটিই উদ্দিষ্ট অডিয়েন্স কি না।
- "PKI" টোকেন টাইপ। "PKI" টোকেন টাইপের অর্থ হলো USleep একটি স্বয়ংসম্পূর্ণ টোকেন অনুরোধ করতে চায়। Confidential Space-এর সুপরিচিত PKI এন্ডপয়েন্ট থেকে ডাউনলোড করা রুট ব্যবহার করে এই স্বয়ংসম্পূর্ণ টোকেনটি যে Google দ্বারা স্বাক্ষরিত, তা যাচাই করা যায়। এটি ডিফল্ট OIDC টোকেন টাইপের থেকে ভিন্ন, যার স্বাক্ষর একটি পাবলিক কী ব্যবহার করে যাচাই করা হয়, যা নিয়মিত পরিবর্তিত হয়।
USleep ওয়ার্কলোড অ্যাটেস্টেশন টোকেনটি গ্রহণ করে। এরপর UWear, USleep-এর সাথে TLS সংযোগে যুক্ত হয় এবং USleep-এর অ্যাটেস্টেশন টোকেনটি সংগ্রহ করে। UWear রুট সার্টিফিকেটের সাথে x5c ক্লেইমটি মিলিয়ে টোকেনটি যাচাই করবে।
UWear নিম্নলিখিত শর্তে USleep ওয়ার্কলোড অনুমোদন করবে:
- টোকেনটি PKI যাচাইকরণ প্রক্রিয়াটি উত্তীর্ণ হয়েছে।
- UWear টোকেনটিকে যাচাই করার জন্য প্রথমে রুট সার্টিফিকেটের সাথে x5c ক্লেইমটি মিলিয়ে দেখবে, এরপর টোকেনটি লিফ সার্টিফিকেট দ্বারা স্বাক্ষরিত কিনা তা পরীক্ষা করবে এবং সবশেষে ডাউনলোড করা রুট সার্টিফিকেটটি x5c ক্লেইমে উল্লিখিত রুট সার্টিফিকেটের অনুরূপ কিনা তা যাচাই করবে।
- টোকেনে থাকা ওয়ার্কলোড পরিমাপের দাবিগুলো OPA পলিসিতে নির্দিষ্ট করা অ্যাট্রিবিউট শর্তগুলোর সাথে মেলে। OPA হলো একটি ওপেন সোর্স, সাধারণ-উদ্দেশ্যমূলক পলিসি ইঞ্জিন যা স্ট্যাক জুড়ে পলিসি প্রয়োগকে একীভূত করে। OPA, JSON-এর মতো সিনট্যাক্সযুক্ত ডকুমেন্ট ব্যবহার করে বেসলাইন মান নির্ধারণ করে, যার বিপরীতে পলিসিটি যাচাই করা হয়। পলিসিটি কোন কোন মান পরীক্ষা করে তার একটি উদাহরণের জন্য OPA বেসলাইন মানগুলো দেখুন।
- ননসটি প্রত্যাশিত ননসের (TLS এক্সপোর্টেড কীয়িং ম্যাটেরিয়াল ) সাথে মিলে যায়। এটি উপরের OPA পলিসিতে যাচাই করা হয়েছে।
একবার এই সমস্ত যাচাই সম্পন্ন হয়ে গেলে এবং তাতে উত্তীর্ণ হলে, UWear নিশ্চিত করবে যে ডেটা নিরাপদে পাঠানো এবং প্রক্রিয়াজাত করা হবে। এরপর UWear একই TLS সেশনের মাধ্যমে সংবেদনশীল PHI (ব্যক্তিগত স্বাস্থ্য তথ্য) সহ উত্তর দেবে এবং USleep সেই ডেটা ব্যবহার করে গ্রাহকের ঘুমের গুণমান গণনা করতে সক্ষম হবে।
২. ক্লাউড রিসোর্স সেট আপ করুন
শুরু করার আগে
- দুটি গুগল ক্লাউড প্রজেক্ট তৈরি করুন, একটি USleep-এর জন্য এবং অন্যটি UWear-এর জন্য। গুগল ক্লাউড প্রজেক্ট তৈরি করার বিষয়ে আরও তথ্যের জন্য, অনুগ্রহ করে "আপনার প্রথম গুগল প্রজেক্ট সেট আপ করুন এবং পরিচালনা করুন" কোডল্যাবটি দেখুন। প্রজেক্ট আইডি কীভাবে পুনরুদ্ধার করতে হয় এবং এটি প্রজেক্টের নাম ও প্রজেক্ট নম্বর থেকে কীভাবে আলাদা, সে সম্পর্কে বিস্তারিত জানতে আপনি প্রজেক্ট তৈরি এবং পরিচালনা অংশটি দেখতে পারেন।
- আপনার প্রোজেক্টগুলোর জন্য বিলিং চালু করুন ।
- আপনার যেকোনো একটি গুগল প্রজেক্টের ক্লাউড শেল- এ, নিচে দেখানো অনুযায়ী প্রয়োজনীয় প্রজেক্ট এনভায়রনমেন্ট ভেরিয়েবলগুলো সেট করুন।
export UWEAR_PROJECT_ID=<Google Cloud project id of UWear>
export USLEEP_PROJECT_ID=<Google Cloud project id of USleep>
- উভয় প্রোজেক্টের জন্য কনফিডেনশিয়াল কম্পিউটিং এপিআই এবং নিম্নলিখিত এপিআইগুলো সক্রিয় করুন।
gcloud config set project $UWEAR_PROJECT_ID
gcloud services enable \
cloudapis.googleapis.com \
cloudshell.googleapis.com \
container.googleapis.com \
containerregistry.googleapis.com \
confidentialcomputing.googleapis.com
gcloud config set project $USLEEP_PROJECT_ID
gcloud services enable \
cloudapis.googleapis.com \
cloudshell.googleapis.com \
container.googleapis.com \
containerregistry.googleapis.com \
confidentialcomputing.googleapis.com
- আপনার প্রিন্সিপাল আইডেন্টিফায়ার পুনরুদ্ধার করুন
gcloud auth list
# Output should contain
# ACCOUNT: <Principal Identifier>
# Set your member variable
export MEMBER='user:<Principal Identifier>'
- এই দুটি প্রজেক্টের জন্য অনুমতি যোগ করুন। 'grant an IAM role' ওয়েবপেজে দেওয়া বিস্তারিত নির্দেশাবলী অনুসরণ করে অনুমতি যোগ করা যাবে।
-
$UWEAR_PROJECT_IDএর জন্য আপনার আর্টিফ্যাক্ট রেজিস্ট্রি অ্যাডমিনিস্ট্রেটর এবং সার্ভিস অ্যাকাউন্ট অ্যাডমিন প্রয়োজন হবে।
gcloud config set project $UWEAR_PROJECT_ID
# Add Artifact Registry Administrator role
gcloud projects add-iam-policy-binding $UWEAR_PROJECT_ID --member=$MEMBER --role='roles/iam.serviceAccountAdmin'
# Add Service Account Administrator role
gcloud projects add-iam-policy-binding $UWEAR_PROJECT_ID --member=$MEMBER --role='roles/artifactregistry.admin'
-
$USLEEP_PROJECT_IDএর জন্য আপনার Compute Admin , Storage Admin , Artifact Registry Administrator এবং Service Account Admin-এর প্রয়োজন হবে।
gcloud config set project $USLEEP_PROJECT_ID
# Add Service Account Administrator role
gcloud projects add-iam-policy-binding $USLEEP_PROJECT_ID --member=$MEMBER --role='roles/iam.serviceAccountAdmin'
# Add Artifact Registry Administrator role
gcloud projects add-iam-policy-binding $USLEEP_PROJECT_ID --member=$MEMBER --role='roles/artifactregistry.admin'
# Add Compute Administrator role
gcloud projects add-iam-policy-binding $USLEEP_PROJECT_ID --member=$MEMBER --role='roles/compute.admin'
# Add Storage Administrator role
gcloud projects add-iam-policy-binding $USLEEP_PROJECT_ID --member=$MEMBER --role='roles/compute.storageAdmin'
- আপনার গুগল ক্লাউড প্রজেক্টগুলোর একটির ক্লাউড শেল-এ, নিচের কমান্ডটি ব্যবহার করে কনফিডেনশিয়াল স্পেস কোডল্যাব গিটহাব রিপোজিটরিটি ক্লোন করুন, যাতে এই কোডল্যাবের অংশ হিসেবে ব্যবহৃত প্রয়োজনীয় স্ক্রিপ্টগুলো পাওয়া যায়।
git clone https://github.com/GoogleCloudPlatform/confidential-space.git
- হেলথ ডেটা কোডল্যাবের জন্য ডিরেক্টরিটি পরিবর্তন করে স্ক্রিপ্টস ডিরেক্টরিতে যান।
cd confidential-space/codelabs/health_data_analysis_codelab/scripts
- codelabs/health_data_analysis_codelab/scripts ডিরেক্টরিতে অবস্থিত config_env.sh স্ক্রিপ্টের এই দুটি লাইন আপডেট করুন। USleep এবং UWear-এর জন্য আপনার প্রজেক্ট আইডি দিয়ে প্রজেক্ট আইডিগুলো আপডেট করুন। লাইনের শুরুতে থাকা কমেন্ট চিহ্ন "#" অবশ্যই মুছে ফেলবেন।
# TODO: Populate UWear and USleep Project IDs
export UWEAR_PROJECT_ID=your-uwear-project-id
export USLEEP_PROJECT_ID=your-usleep-project-id
- ঐচ্ছিক: আগে থেকে বিদ্যমান যেকোনো ভেরিয়েবল সেট করুন। আপনি এই ভেরিয়েবলগুলো ব্যবহার করে রিসোর্সের নামগুলো ওভাররাইড করতে পারেন (যেমন
export UWEAR_ARTIFACT_REPOSITORY='my-artifact-repository')।
- আপনি বিদ্যমান ক্লাউড রিসোর্সের নাম দিয়ে নিম্নলিখিত ভেরিয়েবলগুলো সেট করতে পারেন। যদি ভেরিয়েবলটি সেট করা থাকে, তাহলে প্রজেক্ট থেকে সংশ্লিষ্ট বিদ্যমান ক্লাউড রিসোর্সটি ব্যবহার করা হবে। যদি ভেরিয়েবলটি সেট করা না থাকে, তাহলে config_env.sh স্ক্রিপ্টের মানগুলো থেকে ক্লাউড রিসোর্সের নামটি তৈরি করা হবে।
- রিসোর্স নামগুলোর জন্য আপনার প্রজেক্ট আইডির উপর ভিত্তি করে বাকি ভেরিয়েবলের নামগুলোতে মান সেট করতে config_env.sh স্ক্রিপ্টটি চালান।
# Navigate to the scripts folder
cd ~/confidential-space/codelabs/health_data_analysis_codelab/scripts
# Run the config_env script
source config_env.sh
# Verify the variables were set
# Expected output for default variable should be `workload-sa`
echo $USLEEP_WORKLOAD_SERVICE_ACCOUNT
৩. রুট সার্টিফিকেট ডাউনলোড করুন
- অ্যাটেস্টেশন পরিষেবা থেকে প্রাপ্ত স্বয়ংসম্পূর্ণ টোকেনটি যাচাই করার জন্য, UWear-কে কনফিডেনশিয়াল স্পেস রুট সার্টিফিকেটের সাথে এর স্বাক্ষরটি যাচাই করতে হবে। UWear-কে রুট সার্টিফিকেটটি ডাউনলোড করে স্থানীয়ভাবে সংরক্ষণ করতে হবে। আপনার যেকোনো একটি গুগল ক্লাউড প্রজেক্টের কনসোলে, নিম্নলিখিত কমান্ডগুলো চালান:
cd ~/confidential-space/codelabs/health_data_analysis_codelab/src/uwear
wget https://confidentialcomputing.googleapis.com/.well-known/confidential_space_root.crt -O confidential_space_root.pem
- ডাউনলোড করা রুট সার্টিফিকেটটির ফিঙ্গারপ্রিন্ট তৈরি করুন।
openssl x509 -fingerprint -in confidential_space_root.pem -noout
- ফিঙ্গারপ্রিন্টটি নিম্নলিখিত SHA-1 ডাইজেস্টের সাথে মেলে কিনা তা যাচাই করুন:
B9:51:20:74:2C:24:E3:AA:34:04:2E:1C:3B:A3:AA:D2:8B:21:23:21
৪. ওয়ার্কলোড সার্ভিস অ্যাকাউন্ট তৈরি করুন
এখন, আপনি দুটি সার্ভিস অ্যাকাউন্ট তৈরি করবেন; একটি USleep এবং অন্যটি UWear ওয়ার্কলোডের জন্য। USleep এবং UWear প্রোজেক্টে ওয়ার্কলোড সার্ভিস অ্যাকাউন্ট তৈরি করতে create_service_accounts.sh স্ক্রিপ্টটি চালান। যে VM-গুলো ওয়ার্কলোডগুলো চালাবে, সেগুলো এই সার্ভিস অ্যাকাউন্টগুলো ব্যবহার করবে।
# Navigate to the scripts folder
cd ~/confidential-space/codelabs/health_data_analysis_codelab/scripts
# Run the create_service_accounts script
./create_service_accounts.sh
স্ক্রিপ্ট:
-
iam.serviceAccountUserরোলটি প্রদান করে, যা সার্ভিস অ্যাকাউন্টটিকে ওয়ার্কলোডের সাথে সংযুক্ত করে। - ওয়ার্কলোড সার্ভিস অ্যাকাউন্টকে
confidentialcomputing.workloadUserরোলটি প্রদান করা হলো। এর ফলে ব্যবহারকারী অ্যাকাউন্টটি একটি অ্যাটেস্টেশন টোকেন তৈরি করতে পারবে। - ওয়ার্কলোড সার্ভিস অ্যাকাউন্টকে
logging.logWriterরোলের অনুমতি প্রদান করে। এটি কনফিডেনশিয়াল স্পেস এনভায়রনমেন্টকে সিরিয়াল কনসোলের পাশাপাশি ক্লাউড লগিং-এও লগ লেখার সুযোগ দেয়, ফলে ভিএম বন্ধ করার পরেও লগগুলো পাওয়া যায়। ওয়ার্কলোড তৈরি করুন
৫. USleep ওয়ার্কলোড তৈরি করুন
এই ধাপের অংশ হিসেবে, আপনি এই কোডল্যাবে ব্যবহৃত ওয়ার্কলোডগুলোর জন্য ডকার ইমেজ তৈরি করবেন। USleep ওয়ার্কলোডটি একটি সাধারণ গোল্যাং অ্যাপ্লিকেশন, যা একটি পরিধানযোগ্য ডিভাইসে থাকা ব্যক্তিগত স্বাস্থ্য তথ্য ব্যবহার করে গ্রাহকের ঘুমের গুণমান নির্ণয় করে।
USleep ওয়ার্কলোড সম্পর্কে
USleep ওয়ার্কলোডটি একটি সাধারণ Golang অ্যাপ্লিকেশন, যা একটি পরিধানযোগ্য ডিভাইসে থাকা ব্যক্তিগত স্বাস্থ্য তথ্য ব্যবহার করে গ্রাহকের ঘুমের গুণমান নির্ধারণ করে। USleep ওয়ার্কলোডটির তিনটি প্রধান অংশ রয়েছে:
- একটি TLS সেশন স্থাপন করা এবং এক্সপোর্ট করা কীয়িং মেটেরিয়াল নিষ্কাশন করা
func handleConnectionRequest(w http.ResponseWriter, r *http.Request) {
// Upgrade HTTP Connection to a websocket.
conn, err := upgrader.Upgrade(w, r, nil)
if err != nil {
fmt.Printf("failed to upgrade connection to a websocket with err: %v\n", err)
return
}
defer conn.Close()
// Get EKM
hash, err := getEKMHashFromRequest(r)
if err != nil {
fmt.Printf("Failed to get EKM: %v", err)
}
...
}
func getEKMHashFromRequest(r *http.Request) (string, error) {
ekm, err := r.TLS.ExportKeyingMaterial("testing_nonce", nil, 32)
if err != nil {
err := fmt.Errorf("failed to get EKM from inbound http request: %w", err)
return "", err
}
sha := sha256.New()
sha.Write(ekm)
hash := base64.StdEncoding.EncodeToString(sha.Sum(nil))
fmt.Printf("EKM: %v\nSHA hash: %v", ekm, hash)
return hash, nil
}
- অডিয়েন্স, ননস এবং পিকেআই টোকেন টাইপ সহ অ্যাটেস্টেশন সার্ভিস থেকে একটি টোকেনের জন্য অনুরোধ করা হচ্ছে।
func handleConnectionRequest(w http.ResponseWriter, r *http.Request) {
...
// Request token with TLS Exported Keying Material (EKM) hashed.
token, err := getCustomToken(hash)
if err != nil {
fmt.Printf("failed to get custom token from token endpoint: %v", err)
return
}
// Respond to the client with the token.
conn.WriteMessage(websocket.TextMessage, token)
...
}
var (
socketPath = "/run/container_launcher/teeserver.sock"
tokenEndpoint = "http://localhost/v1/token"
contentType = "application/json"
)
func getCustomToken(nonce string) ([]byte, error) {
httpClient := http.Client{
Transport: &http.Transport{
// Set the DialContext field to a function that creates
// a new network connection to a Unix domain socket
DialContext: func(_ context.Context, _, _ string) (net.Conn, error) {
return net.Dial("unix", socketPath)
},
},
}
body := fmt.Sprintf(`{
"audience": "uwear",
"nonces": ["%s"],
"token_type": "PKI"
}`, nonce)
resp, err := httpClient.Post(tokenEndpoint, contentType, strings.NewReader(body))
if err != nil {
return nil, err
}
fmt.Printf("Response from launcher: %v\n", resp)
text, err := io.ReadAll(resp.Body)
if err != nil {
return nil, fmt.Errorf("Failed to read resp.Body: %w", err)
}
fmt.Printf("Token from the attestation service: %s\n", text)
return text, nil
}
- সংবেদনশীল তথ্য গ্রহণ করা এবং ব্যবহারকারীর ঘুমের গুণমান গণনা করা
func handleConnectionRequest(w http.ResponseWriter, r *http.Request) {
...
// Read the sensitive data
_, content, err := conn.ReadMessage()
if err != nil {
fmt.Printf("failed to read message from the connection: %v\n", err)
}
fmt.Printf("Received content from other side, %v\n", string(content))
// TODO: Handle sensitive data
...
}
USleep ওয়ার্কলোড তৈরি করার ধাপসমূহ
- USleep ওয়ার্কলোড তৈরি করতে create_usleep_workload.sh স্ক্রিপ্টটি চালান। এই স্ক্রিপ্টটি:
- UWear-এর মালিকানাধীন একটি আর্টিফ্যাক্ট রেজিস্ট্রি (
$USLEEP_ARTIFACT_REPOSITORY) তৈরি করে, যেখানে ওয়ার্কলোডটি প্রকাশিত হবে। - usleep/workload.go কোডটি বিল্ড করে একটি ডকার ইমেজে প্যাকেজ করে। USleep-এর জন্য Dockerfile কনফিগারেশন দেখুন।
- UWear-এর মালিকানাধীন আর্টিফ্যাক্ট রেজিস্ট্রি (
$USLEEP_ARTIFACT_REPOSITORY)-তে ডকার ইমেজটি প্রকাশ করে। - সার্ভিস অ্যাকাউন্ট
$USLEEP_WORKLOAD_SERVICE_ACCOUNTকে আর্টিফ্যাক্ট রেজিস্ট্রি ($USLEEP_ARTIFACT_REPOSITORY) পড়ার অনুমতি দেওয়া হলো।
./create_usleep_workload.sh
- গুরুত্বপূর্ণ: আউটপুট লগ থেকে USleep-এর ইমেজ ডাইজেস্টটি বের করে নিন।
latest: digest: sha256:<USLEEP_IMAGE_DIGEST> size: 945
- UWear ডিরেক্টরিতে যান
cd ~/confidential-space/codelabs/health_data_analysis_codelab/src/uwear
- opa_validation_values.json ফাইলের 'allowed_submods_container_image_digest' অংশের মানটি USLEEP_IMAGE_DIGEST দিয়ে প্রতিস্থাপন করুন।
# Replace the image digest
sed -i 's/sha256:bc4c32cb2ca046ba07dcd964b07a320b7d0ca88a5cf8e979da15cae68a2103ee/sha256:<USLEEP_IMAGE_DIGEST>/' ~/confidential-space/codelabs/health_data_analysis_codelab/src/uwear/opa_validation_values.json
৬. UWear ওয়ার্কলোড তৈরি করুন
UWear ওয়ার্কলোড সম্পর্কে
UWear-এর কর্মপরিধির ৪টি প্রধান অংশ রয়েছে:
- USleep-এর ওয়ার্কলোডে তৈরি করা একই TLS সেশনে যোগদান করা এবং সুরক্ষিত TLS সেশনের মাধ্যমে USleep থেকে অ্যাটেস্টেশন টোকেন পুনরুদ্ধার করা।
func main() {
fmt.Println("Initializing client...")
tlsconfig := &tls.Config{
// Skipping client verification of the server's certificate chain and host name since we are
// doing custom verification using the attestation token.
InsecureSkipVerify: true,
}
dialer := websocket.Dialer{
TLSClientConfig: tlsconfig,
HandshakeTimeout: 5 * time.Second,
}
ipAddress := os.Getenv(ipAddrEnvVar)
url := fmt.Sprintf("wss://%s:8081/connection", ipAddress)
fmt.Printf("Attempting to dial to url %v...\n", url)
conn, _, err := dialer.Dial(url, nil)
if err != nil {
fmt.Printf("Failed to dial to url %s, err %v\n", url, err)
return
}
defer conn.Close()
tokenString, ekm, err := retrieveTokenAndEKMFromConn(conn)
if err != nil {
fmt.Printf("Failed to retrieve token and EKM from connection: %v\n", err)
return
}
fmt.Printf("token: %v\n", tokenString)
...
}
- স্বয়ংসম্পূর্ণ টোকেন যাচাইকরণ প্রক্রিয়া:
- x5c দাবিটি পরীক্ষা করে দেখা গেছে যে এতে এমন একটি সার্টিফিকেট চেইন রয়েছে যা লিফ সার্টিফিকেট থেকে ইন্টারমিডিয়েট এবং অবশেষে রুট সার্টিফিকেট পর্যন্ত সঠিকভাবে সংযুক্ত।
- টোকেনটি x5c ক্লেইমে থাকা লিফ সার্টিফিকেট দ্বারা স্বাক্ষরিত কিনা তা যাচাই করা হচ্ছে।
- ডাউনলোড করা / সংরক্ষিত রুট সার্টিফিকেটটি x5c ক্লেইমে থাকা রুটের মতোই কিনা তা যাচাই করা হচ্ছে।
func main() {
...
token, err := validatePKIToken(tokenString)
if err != nil {
fmt.Printf("Failed to validate PKI token, err: %v\n.", err)
return
}
fmt.Println("PKI token validated successfully")
...
}
// validatePKIToken validates the PKI token returned from the attestation service.
// It verifies the token the certificate chain and that the token is signed by Google
// Returns a jwt.Token or returns an error if invalid.
func validatePKIToken(attestationToken string) (jwt.Token, error) {
// IMPORTANT: The attestation token should be considered untrusted until the certificate chain and
// the signature is verified.
rawRootCertificate, err := readFile(rootCertificateFile)
if err != nil {
return jwt.Token{}, fmt.Errorf("readFile(%v) - failed to read root certificate: %w", rootCertificateFile, err)
}
storedRootCert, err := decodeAndParsePEMCertificate(string(rawRootCertificate))
if err != nil {
return jwt.Token{}, fmt.Errorf("DecodeAndParsePEMCertificate(string) - failed to decode and parse root certificate: %w", err)
}
jwtHeaders, err := extractJWTHeaders(attestationToken)
if err != nil {
return jwt.Token{}, fmt.Errorf("ExtractJWTHeaders(token) - failed to extract JWT headers: %w", err)
}
if jwtHeaders["alg"] != "RS256" {
return jwt.Token{}, fmt.Errorf("ValidatePKIToken(attestationToken, ekm) - got Alg: %v, want: %v", jwtHeaders["alg"], "RS256")
}
// Additional Check: Validate the ALG in the header matches the certificate SPKI.
// https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.7
// This is included in Golang's jwt.Parse function
x5cHeaders := jwtHeaders["x5c"].([]any)
certificates, err := extractCertificatesFromX5CHeader(x5cHeaders)
if err != nil {
return jwt.Token{}, fmt.Errorf("ExtractCertificatesFromX5CHeader(x5cHeaders) returned error: %w", err)
}
// Verify the leaf certificate signature algorithm is an RSA key
if certificates.LeafCert.SignatureAlgorithm != x509.SHA256WithRSA {
return jwt.Token{}, fmt.Errorf("leaf certificate signature algorithm is not SHA256WithRSA")
}
// Verify the leaf certificate public key algorithm is RSA
if certificates.LeafCert.PublicKeyAlgorithm != x509.RSA {
return jwt.Token{}, fmt.Errorf("leaf certificate public key algorithm is not RSA")
}
// Verify the storedRootCertificate is the same as the root certificate returned in the token
// storedRootCertificate is downloaded from the confidential computing well known endpoint
// https://confidentialcomputing.googleapis.com/.well-known/attestation-pki-root
err = compareCertificates(*storedRootCert, *certificates.RootCert)
if err != nil {
return jwt.Token{}, fmt.Errorf("failed to verify certificate chain: %w", err)
}
err = verifyCertificateChain(certificates)
if err != nil {
return jwt.Token{}, fmt.Errorf("VerifyCertificateChain(CertificateChain) - error verifying x5c chain: %v", err)
}
keyFunc := func(token *jwt.Token) (any, error) {
return certificates.LeafCert.PublicKey, nil
}
verifiedJWT, err := jwt.Parse(attestationToken, keyFunc)
return *verifiedJWT, err
}
// verifyCertificateChain verifies the certificate chain from leaf to root.
// It also checks that all certificate lifetimes are valid.
func verifyCertificateChain(certificates CertificateChain) error {
// Additional check: Verify that all certificates in the cert chain are valid.
// Note: The *x509.Certificate Verify method in Golang already validates this but for other coding
// languages it is important to make sure the certificate lifetimes are checked.
if isCertificateLifetimeValid(certificates.LeafCert) {
return fmt.Errorf("leaf certificate is not valid")
}
if isCertificateLifetimeValid(certificates.IntermediateCert) {
return fmt.Errorf("intermediate certificate is not valid")
}
interPool := x509.NewCertPool()
interPool.AddCert(certificates.IntermediateCert)
if isCertificateLifetimeValid(certificates.RootCert) {
return fmt.Errorf("root certificate is not valid")
}
rootPool := x509.NewCertPool()
rootPool.AddCert(certificates.RootCert)
_, err := certificates.LeafCert.Verify(x509.VerifyOptions{
Intermediates: interPool,
Roots: rootPool,
KeyUsages: []x509.ExtKeyUsage{x509.ExtKeyUsageAny},
})
if err != nil {
return fmt.Errorf("failed to verify certificate chain: %v", err)
}
return nil
}
- এরপর UWear ওয়ার্কলোডটি যাচাই করে দেখবে যে টোকেনে থাকা ওয়ার্কলোড মেজারমেন্ট ক্লেইমগুলো OPA পলিসিতে নির্দিষ্ট করা অ্যাট্রিবিউট শর্তগুলোর সাথে মেলে কি না। OPA হলো একটি ওপেন সোর্স, সাধারণ-উদ্দেশ্যমূলক পলিসি ইঞ্জিন যা স্ট্যাক জুড়ে পলিসি প্রয়োগকে একীভূত করে। OPA, JSON-এর মতো সিনট্যাক্সযুক্ত ডকুমেন্ট ব্যবহার করে বেসলাইন মান নির্ধারণ করে, যার ভিত্তিতে পলিসিটি যাচাই করা হয়।
func main() {
...
err = validateClaimsAgainstOPAPolicy(token, ekm)
if err != nil {
fmt.Printf("Failed to validate claims against OPA policy: %v\n", err)
return
}
fmt.Println("Validated token and claims. Sending sensitive data")
...
}
// validateClaimsAgainstOPAPolicy validates the claims in the JWT token against the OPA policy.
func validateClaimsAgainstOPAPolicy(token jwt.Token, ekm string) error {
data, err := os.ReadFile("opa_validation_values.json")
authorized, err := evaluateOPAPolicy(context.Background(), token, ekm, string(data))
if err != nil {
fmt.Println("Error evaluating OPA policy:", err)
return fmt.Errorf("failed to evaluate OPA policy: %w", err)
}
if !authorized {
fmt.Println("Remote TEE's JWT failed policy check.")
return fmt.Errorf("remote TEE's JWT failed policy check")
}
fmt.Println("JWT is authorized.")
return nil
}
// evaluateOPAPolicy returns boolean indicating if OPA policy is satisfied or not, or error if occurred
func evaluateOPAPolicy(ctx context.Context, token jwt.Token, ekm string, policyData string) (bool, error) {
var claims jwt.MapClaims
var ok bool
if claims, ok = token.Claims.(jwt.MapClaims); !ok {
return false, fmt.Errorf("failed to get the claims from the JWT")
}
module := fmt.Sprintf(opaPolicy, ekm)
var json map[string]any
err := util.UnmarshalJSON([]byte(policyData), &json)
store := inmem.NewFromObject(json)
// Bind 'allow' to the value of the policy decision
// Bind 'hw_verified', 'image_verified', 'audience_verified, 'nonce_verified' to their respective policy evaluations
query, err := rego.New(
rego.Query(regoQuery), // Argument 1 (Query string)
rego.Store(store), // Argument 2 (Data store)
rego.Module("confidential_space.rego", module), // Argument 3 (Policy module)
).PrepareForEval(ctx)
if err != nil {
fmt.Printf("Error creating query: %v\n", err)
return false, err
}
fmt.Println("Performing OPA query evaluation...")
results, err := query.Eval(ctx, rego.EvalInput(claims))
if err != nil {
fmt.Printf("Error evaluating OPA policy: %v\n", err)
return false, err
} else if len(results) == 0 {
fmt.Println("Undefined result from evaluating OPA policy")
return false, err
} else if result, ok := results[0].Bindings["allow"].(bool); !ok {
fmt.Printf("Unexpected result type: %v\n", ok)
fmt.Printf("Result: %+v\n", result)
return false, err
}
fmt.Println("OPA policy evaluation completed.")
fmt.Println("OPA policy result values:")
for key, value := range results[0].Bindings {
fmt.Printf("[ %s ]: %v\n", key, value)
}
result := results[0].Bindings["allow"]
if result == true {
fmt.Println("Policy check PASSED")
return true, nil
}
fmt.Println("Policy check FAILED")
return false, nil
}
- OPA বেসলাইন মানের উদাহরণ:
{
"allowed_submods_container_image_digest": [
"sha256:<USLEEP_IMAGE_DIGEST>"
],
"allowed_hwmodel": [
"GCP_INTEL_TDX",
"GCP_SHIELDED_VM",
"GCP_AMD_SEV_ES",
"GCP_AMD_SEV"
],
"allowed_aud": [
"uwear"
],
"allowed_issuer": [
"https://confidentialcomputing.googleapis.com"
],
"allowed_secboot": [
true
],
"allowed_sw_name": [
"CONFIDENTIAL_SPACE"
]
}
- রেগোতে লেখা ওপিএ পলিসির একটি উদাহরণ।
package confidential_space
import rego.v1
default allow := false
default hw_verified := false
default image_digest_verified := false
default audience_verified := false
default nonce_verified := false
default issuer_verified := false
default secboot_verified := false
default sw_name_verified := false
allow if {
hw_verified
image_digest_verified
audience_verified
nonce_verified
issuer_verified
secboot_verified
sw_name_verified
}
hw_verified if input.hwmodel in data.allowed_hwmodel
image_digest_verified if input.submods.container.image_digest in data.allowed_submods_container_image_digest
audience_verified if input.aud in data.allowed_aud
issuer_verified if input.iss in data.allowed_issuer
secboot_verified if input.secboot in data.allowed_secboot
sw_name_verified if input.swname in data.allowed_sw_name
nonce_verified if {
input.eat_nonce == "%s"
}
- রেজিস্ট্রেশন কোয়েরির উদাহরণ।
regoQuery = "
allow = data.confidential_space.allow;
hw_verified = data.confidential_space.hw_verified;
image__digest_verified = data.confidential_space.image_digest_verified;
audience_verified = data.confidential_space.audience_verified;
nonce_verified = data.confidential_space.nonce_verified;
issuer_verified = data.confidential_space.issuer_verified;
secboot_verified = data.confidential_space.secboot_verified;
sw_name_verified = data.confidential_space.sw_name_verified
"
- OPA যাচাইকরণের সময়, UWear ওয়ার্কলোড এটাও যাচাই করে যে ননসটি প্রত্যাশিত ননসের (TLS এক্সপোর্টেড কীইং ম্যাটেরিয়াল - EKM) সাথে মেলে কিনা। পলিসি ইভ্যালুয়েটরে পাঠানো EKM ব্যবহার করে OPA পলিসিতে ননসটি যাচাই করা হয় ।
EKM হ্যাশ পাওয়ার জন্য উদাহরণ কোড :
func getEKMHashFromConn(c *websocket.Conn) (string, error) {
conn, ok := c.NetConn().(*tls.Conn)
if !ok {
return "", fmt.Errorf("failed to cast NetConn to *tls.Conn")
}
state := conn.ConnectionState()
ekm, err := state.ExportKeyingMaterial("testing_nonce", nil, 32)
if err != nil {
return "", fmt.Errorf("failed to get EKM from TLS connection: %w", err)
}
sha := sha256.New()
sha.Write(ekm)
hash := base64.StdEncoding.EncodeToString(sha.Sum(nil))
return hash, nil
}
- একবার এই সমস্ত যাচাই সম্পন্ন হয়ে গেলে এবং তাতে উত্তীর্ণ হলে, UWear নিশ্চিত করবে যে ডেটা নিরাপদে পাঠানো এবং প্রক্রিয়াজাত করা হবে। এরপর UWear একই TLS সেশনের মাধ্যমে সংবেদনশীল PHI (ব্যক্তিগত স্বাস্থ্য তথ্য) সহ উত্তর দেবে এবং USleep সেই ডেটা ব্যবহার করে গ্রাহকের ঘুমের গুণমান গণনা করতে সক্ষম হবে।
func main() {
...
fmt.Println("Validated token and claims. Sending sensitive data")
data, err := readFile(mySensitiveDataFile)
if err != nil {
fmt.Printf("Failed to read data from the file: %v\n", err)
}
conn.WriteMessage(websocket.BinaryMessage, data)
fmt.Println("Sent payload. Closing the connection")
conn.Close()
...
}
USleep ওয়ার্কলোড তৈরি করার ধাপসমূহ
- স্ক্রিপ্ট ডিরেক্টরিতে যান
cd ~/confidential-space/codelabs/health_data_analysis_codelab/scripts
- UWear ওয়ার্কলোড তৈরি করতে create_uwear_workload.sh স্ক্রিপ্টটি চালান:
- UWear-এর মালিকানাধীন একটি আর্টিফ্যাক্ট রেজিস্ট্রি (
$UWEAR_ARTIFACT_REPOSITORY) তৈরি করে, যেখানে ওয়ার্কলোডটি প্রকাশিত হবে। - uwear/workload.go কোডটি বিল্ড করে একটি ডকার ইমেজে প্যাকেজ করে। USleep-এর জন্য Dockerfile কনফিগারেশন দেখুন।
- UWear-এর মালিকানাধীন আর্টিফ্যাক্ট রেজিস্ট্রি (
$UWEAR_ARTIFACT_REPOSITORY)-তে ডকার ইমেজটি প্রকাশ করে। - সার্ভিস অ্যাকাউন্ট
$UWEAR_WORKLOAD_SERVICE_ACCOUNTকে আর্টিফ্যাক্ট রেজিস্ট্রি ($UWEAR_ARTIFACT_REPOSITORY) পড়ার অনুমতি দেওয়া হলো।
./create_uwear_workload.sh
৭. USleep এবং UWear ওয়ার্কলোডগুলো চালান
USleep ওয়ার্কলোড চালান
gcloud config set project $USLEEP_PROJECT_ID
gcloud compute instances create \
--confidential-compute-type=SEV \
--shielded-secure-boot \
--maintenance-policy=MIGRATE \
--scopes=cloud-platform --zone=${USLEEP_PROJECT_ZONE} \
--image-project=confidential-space-images \
--image-family=confidential-space \
--service-account=${USLEEP_WORKLOAD_SERVICE_ACCOUNT}@${USLEEP_PROJECT_ID}.iam.gserviceaccount.com \
--metadata ^~^tee-image-reference=${USLEEP_PROJECT_REPOSITORY_REGION}-docker.pkg.dev/${USLEEP_PROJECT_ID}/${USLEEP_ARTIFACT_REPOSITORY}/${USLEEP_WORKLOAD_IMAGE_NAME}:${USLEEP_WORKLOAD_IMAGE_TAG}~tee-restart-policy=Never~tee-container-log-redirect=true usleep
প্রতিক্রিয়াটি STATUS: RUNNING ফেরত দেবে এবং EXTERNAL_IP-টিও এটির মতোই ফেরত আসবে:
NAME: usleep
ZONE: us-west1-b
MACHINE_TYPE: n2d-standard-2
PREEMPTIBLE:
INTERNAL_IP: 10.138.0.6
EXTERNAL_IP: 34.168.56.10
STATUS: RUNNING
এক্সটার্নাল আইপি একটি ভেরিয়েবলে সংরক্ষণ করুন
export USLEEP_EXTERNAL_IP=<add your external IP>
USleep ওয়ার্কলোডটি সঠিকভাবে চলেছে কিনা যাচাই করুন।
USleep ওয়ার্কলোডটি সঠিকভাবে চলছে কিনা তা যাচাই করতে, USleep প্রজেক্টের VM Instances পৃষ্ঠায় যান। "usleep" ইনস্ট্যান্সটিতে ক্লিক করুন এবং Logs বিভাগের অধীনে "Serial port 1(console)"-এ চাপ দিন। সার্ভারটি চালু হয়ে গেলে, লগগুলির একেবারে নিচে নিম্নলিখিতের মতো কিছু দেখা যাবে।
2024/09/13 17:00:00 workload task started
#####----- Local IP Address is <YOUR-LOCAL-IP> -----#####
Starting Server..
UWear ওয়ার্কলোড চালান
gcloud config set project $UWEAR_PROJECT_ID
gcloud compute instances create \
--confidential-compute-type=SEV \
--shielded-secure-boot \
--maintenance-policy=MIGRATE \
--scopes=cloud-platform --zone=${UWEAR_PROJECT_ZONE} \
--image-project=confidential-space-images \
--image-family=confidential-space \
--service-account=${UWEAR_WORKLOAD_SERVICE_ACCOUNT}@${UWEAR_PROJECT_ID}.iam.gserviceaccount.com \
--metadata ^~^tee-image-reference=${UWEAR_PROJECT_REPOSITORY_REGION}-docker.pkg.dev/${UWEAR_PROJECT_ID}/${UWEAR_ARTIFACT_REPOSITORY}/${UWEAR_WORKLOAD_IMAGE_NAME}:${UWEAR_WORKLOAD_IMAGE_TAG}~tee-restart-policy=Never~tee-container-log-redirect=true~tee-env-remote_ip_addr=$USLEEP_EXTERNAL_IP uwear
UWear ওয়ার্কলোডটি সঠিকভাবে চলেছে কিনা যাচাই করুন।
UWear ওয়ার্কলোডের লগ দেখতে, UWear প্রজেক্টের VM Instances পৃষ্ঠায় যান। "uwear" ইনস্ট্যান্সটিতে ক্লিক করুন এবং Logs বিভাগের অধীনে "Serial port 1(console)" চাপুন।
ইনস্ট্যান্সটি সম্পূর্ণরূপে চালু হয়ে গেলে লগ আউটপুটটি দেখতে এইরকম হবে।
UWear প্রোজেক্টে, সিরিয়াল লগগুলিতে নিম্নলিখিতের অনুরূপ কিছু দেখা যাবে।
token: eyJ[...]MrXUg
PKI token validated successfully
Performing OPA query evaluation...
OPA policy evaluation completed.
OPA policy result values:
[ hw_verified ]: true
[ image__digest_verified ]: true
[ audience_verified ]: true
[ nonce_verified ]: true
[ issuer_verified ]: true
[ secboot_verified ]: true
[ sw_name_verified ]: true
[ allow ]: true
Policy check PASSED
JWT is authorized.
Validated token and claims. Sending sensitive data
Sent payload. Closing the connection
আপনার UWear ওয়ার্কলোড যদি এরকম না হয়, তাহলে নির্দেশাবলীর জন্য নিচের নোটগুলো দেখুন।
USleep-এর ফলাফল দেখুন
ফলাফল দেখতে USleep প্রজেক্টের VM Instances পেজে ফিরে যান। "usleep" ইনস্ট্যান্সটিতে ক্লিক করুন এবং Logs সেকশনের অধীনে "Serial port 1(console)"-এ চাপ দিন। লগগুলোর একদম নিচে ওয়ার্কলোডের ফলাফল দেখুন। সেগুলো নিচের নমুনার মতো দেখতে হওয়া উচিত।
Token from the attestation service: eyJhbGci...Ii5A3CJBuDM2o5Q
Received content from other side, {
"name": "Amy",
"age": 29,
"sleep": {
"light": {
"minutes": 270
},
"deep": {
"minutes": 135
},
"rem": {
"minutes": 105
}
}
}
Sleep quality result: total sleep time is less than 8 hours
ফলাফলটি হওয়া উচিত "total sleep time is less than 8 hours".
অভিনন্দন, আপনি সংবেদনশীল তথ্য আদান-প্রদানের জন্য UWear এবং USleep-এর মধ্যে সফলভাবে একটি গোপনীয় স্থান তৈরি করেছেন!
৮. (ঐচ্ছিক) অননুমোদিত ওয়ার্কলোড চালান
পরবর্তী পরিস্থিতিতে USleep কোডটি আপডেট করে এবং UWear কর্তৃক প্রদত্ত স্লিপ ডেটার উপর একটি ভিন্ন ওয়ার্কলোড চালায়। UWear এই নতুন ওয়ার্কলোডে সম্মতি দেয়নি এবং নতুন ইমেজ ডাইজেস্টের অনুমতি দেওয়ার জন্য তাদের OPA পলিসিও আপডেট করেনি। আমরা যাচাই করে দেখব যে UWear তার সংবেদনশীল ডেটা অননুমোদিত ওয়ার্কলোডে পাঠাবে না।
USleep তাদের কাজের চাপ পরিবর্তন করে
- প্রজেক্টটি $USLEEP_PROJECT_ID-তে সেট করুন।
gcloud config set project $USLEEP_PROJECT_ID
- USleep VM ইনস্ট্যান্সটি মুছে ফেলুন।
gcloud compute instances delete usleep --zone $USLEEP_PROJECT_ZONE
- usleep/workload.go ডিরেক্টরিতে যান।
cd ~/confidential-space/codelabs/health_data_analysis_codelab/src/usleep
- usleep/workload.go ফাইলে
"audience": "uwear".এই উদাহরণে, ইমেজ ডাইজেস্ট পরিবর্তন করার জন্য আমরা অডিয়েন্সকে এমন একটি ভিন্ন মানে আপডেট করব যা UWear অনুমোদন করেনি। সুতরাং, UWear দুটি কারণে এটি প্রত্যাখ্যান করবে - অননুমোদিত ইমেজ ডাইজেস্ট এবং ভুল অডিয়েন্স।
"audience": "anotherCompany.com",
- নতুন USleep ওয়ার্কলোড তৈরি করুন
cd ~/confidential-space/codelabs/health_data_analysis_codelab/scripts
./create_usleep_workload.sh
- নতুন USleep VM ইনস্ট্যান্সটি তৈরি করুন এবং ওয়ার্কলোডটি চালান।
gcloud compute instances create \
--confidential-compute-type=SEV \
--shielded-secure-boot \
--maintenance-policy=MIGRATE \
--scopes=cloud-platform --zone=${USLEEP_PROJECT_ZONE} \
--image-project=confidential-space-images \
--image-family=confidential-space \
--service-account=${USLEEP_WORKLOAD_SERVICE_ACCOUNT}@${USLEEP_PROJECT_ID}.iam.gserviceaccount.com \
--metadata ^~^tee-image-reference=${USLEEP_PROJECT_REPOSITORY_REGION}-docker.pkg.dev/${USLEEP_PROJECT_ID}/${USLEEP_ARTIFACT_REPOSITORY}/${USLEEP_WORKLOAD_IMAGE_NAME}:${USLEEP_WORKLOAD_IMAGE_TAG}~tee-restart-policy=Never~tee-container-log-redirect=true usleep
- পরবর্তী ব্যবহারের জন্য নতুন USleep এক্সটার্নাল আইপিটি এক্সট্র্যাক্ট করুন।
export USLEEP_EXTERNAL_IP=<add your external IP>
ওয়ার্কলোডটি পুনরায় চালান
- UWear VM ইনস্ট্যান্সটি মুছে ফেলুন
gcloud config set project $UWEAR_PROJECT_ID
gcloud compute instances delete uwear --zone $UWEAR_PROJECT_ZONE
- নতুন এক্সটার্নাল আইপি ব্যবহার করে UWear VM ইনস্ট্যান্সটি পুনরায় তৈরি করুন।
gcloud compute instances create \
--confidential-compute-type=SEV \
--shielded-secure-boot \
--maintenance-policy=MIGRATE \
--scopes=cloud-platform --zone=${UWEAR_PROJECT_ZONE} \
--image-project=confidential-space-images \
--image-family=confidential-space \
--service-account=${UWEAR_WORKLOAD_SERVICE_ACCOUNT}@${UWEAR_PROJECT_ID}.iam.gserviceaccount.com \
--metadata ^~^tee-image-reference=${UWEAR_PROJECT_REPOSITORY_REGION}-docker.pkg.dev/${UWEAR_PROJECT_ID}/${UWEAR_ARTIFACT_REPOSITORY}/${UWEAR_WORKLOAD_IMAGE_NAME}:${UWEAR_WORKLOAD_IMAGE_TAG}~tee-restart-policy=Never~tee-container-log-redirect=true~tee-env-remote_ip_addr=$USLEEP_EXTERNAL_IP uwear
- UWear সিরিয়াল লগে নিম্নলিখিত বার্তাটি দেখা যাবে এবং USleep VM-এ কোনো সংবেদনশীল ডেটা আসবে না।
OPA policy result values:
[ nonce_verified ]: true
[ issuer_verified ]: true
[ secboot_verified ]: true
[ sw_name_verified ]: true
[ allow ]: false
[ hw_verified ]: true
[ image__digest_verified ]: false
[ audience_verified ]: false
Policy check FAILED
Remote TEE's JWT failed policy check.
Failed to validate claims against OPA policy: remote TEE's JWT failed policy check
৯. পরিষ্কার করা
এই কোডল্যাবের অংশ হিসেবে আমরা যে রিসোর্সগুলো তৈরি করেছি, সেগুলো পরিষ্কার করার জন্য ক্লিনআপ স্ক্রিপ্টটি ব্যবহার করা যেতে পারে। এই পরিষ্কার-পরিচ্ছন্নতার অংশ হিসেবে, নিম্নলিখিত রিসোর্সগুলো মুছে ফেলা হবে:
- UWear পরিষেবা অ্যাকাউন্ট (
$UWEAR_SERVICE_ACCOUNT)। - UWear আর্টিফ্যাক্ট রেজিস্ট্রি (
$UWEAR_ARTIFACT_REPOSITORY)। - UWear কম্পিউট ইনস্ট্যান্স
- USleep পরিষেবা অ্যাকাউন্ট (
$USLEEP_SERVICE_ACCOUNT)। - USleep আর্টিফ্যাক্ট রেজিস্ট্রি (
$USLEEP_ARTIFACT_REPOSITORY)। - ইউস্লিপ কম্পিউট ইনস্ট্যান্স
./cleanup.sh
আপনার অন্বেষণ শেষ হলে, অনুগ্রহ করে এই নির্দেশাবলী অনুসরণ করে আপনার প্রজেক্টটি মুছে ফেলার কথা বিবেচনা করুন।
অভিনন্দন
অভিনন্দন, আপনি সফলভাবে কোডল্যাবটি সম্পন্ন করেছেন!
আপনি কনফিডেনশিয়াল স্পেস ব্যবহার করে ডেটার গোপনীয়তা বজায় রেখে তা নিরাপদে শেয়ার করার পদ্ধতি শিখেছেন।
এরপর কী?
এই ধরনের কয়েকটি কোডল্যাব দেখে নিন...
- গোপনীয় স্থান ব্যবহার করে এমএল মডেল এবং মেধাস্বত্ব সুরক্ষিত করা
- মাল্টি-পার্টি কম্পিউটেশন এবং কনফিডেনশিয়াল স্পেস ব্যবহার করে কীভাবে ডিজিটাল অ্যাসেট লেনদেন করা যায়
- গোপনীয় স্থান ব্যবহার করে গোপনীয় তথ্য বিশ্লেষণ করুন