本文介绍如何在Intel® Trusted Domain Extension(Intel® TDX)实例(下文简称为TDX实例)中构建TDX加密计算环境,并演示如何运行实例代码以验证TDX功能。

前提条件

已创建并登录TDX实例。
说明 TDX实例正在邀测中,如需使用,请前往 邀测页面申请。

背景信息

Intel® TDX是一项基于CPU硬件的云服务器ECS保护技术,TDX实例的CPU寄存器、内存数据、中断处理等均受到CPU硬件的加密保护,云厂商和外部攻击者均无法监控或篡改TDX实例的内部运行状态(如运行的进程、计算中的敏感数据等)。关于Intel® TDX技术的更多信息,请参见Intel® Trusted Domain Extension(Intel® TDX)

Intel® TDX可以为您的实例和应用提供默认的安全保护,即您可以将现有应用直接迁移至TDX实例上并获得TDX能力带来的安全保护,而无需重新开发现有的应用程序。

检查TDX使能状态

在使用TDX加密计算环境前,建议您先检查对应实例的TDX使能状态,以确保对应实例处于安全保护中。

  1. 检查TDX使能状态。
    lscpu |grep -i tdx_guest
    下图表示TDX已经被正确使能。 tdx-install
  2. 检查TDX相关驱动安装情况。
    ls -l /dev/tdx-attest
    下图表示已经安装TDX相关驱动。 tdx-driver

构建TDX加密计算环境并验证TDX功能

说明 正常情况下,运行于非TDX环境下的程序可直接迁移至TDX实例中,而无需额外开发,且您可以像使用普通实例一样使用TDX实例。阿里云建议您利用下文所述的相关功能,以充分使用TDX所提供的额外安全能力,并更好地保护实例的安全。

TDX Report是由CPU硬件直接生成的代表了TDX实例身份的数据结构,其包含了TDX实例的属性(ATTRIBUTES)动态度量值(RTMR)TCB SVN等关键信息,并以密码学方法保护其完整性。更多信息,请参见Intel TDX Module

  1. 导入阿里云加密计算yum软件源。
    • 公网地址格式:https://enclave-[Region-ID].oss-[Region-ID].aliyuncs.com/repo/alinux/enclave-expr.repo
    • VPC内网地址格式:https://enclave-[Region-ID].oss-[Region-ID]-internal.aliyuncs.com/repo/alinux/enclave-expr.repo
    请将上述地址中的 [Region-ID]替换为TDX实例所在地域的ID。例如,华北2(北京)地域中的VPC内网导入示例:
    region="cn-beijing"
    
    yum install -y yum-utils
    yum-config-manager --add-repo https://enclave-${region}.oss-${region}-internal.aliyuncs.com/repo/alinux/enclave-expr.repo
  2. 安装编译工具及相关样例代码。
    yum groupinstall -y "Development Tools"
    yum install -y sgxsdk libtdx-attest-devel
  3. 编译示例代码TDXReportParse。
    1. 进入TDXReportParse目录。
      cd /opt/alibaba/teesdk/intel/sgxsdk/SampleCode/TDXReportParse
    2. 编译TDXReportParse。
      make
  4. 运行编译出的可执行文件。
    ./tdx_report_parse
    执行的样例结果如下, attributes中的 NO_DEBUG表示当前的TDX实例处于非调试状态,即处于安全的受保护模式。 TDX Report