コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud の Confidential Computing ポートフォリオの拡大

2020年9月17日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Google_Cloud_security.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2020 年 9 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。


お客様が Google Cloud サービスをどのように利用するかにかかわらず、お客様のデータはお客様のものです。Google Cloud のセキュリティに対する階層的なアプローチは、お客様のデータを先見的に保護するだけでなく、お客様の条件に合わせた管理を可能にします。実際、Google では、今後コンピューティングは秘匿化や暗号化がさらに進み、ユーザーはクラウド プロバイダやその内部関係者にデータがさらされることを心配せずにすむようになると考えています。そして、この未来を可能にするのが Confidential Computing です。Confidential Computing は、データの処理中に、メモリ内や CPU 外のどの場所でも、データが暗号化されている状態を保持します。

7 月の Google Cloud Next ‘20: OnAir の開催初日、Confidential Computing ポートフォリオにおいて最初のプロダクトとなるベータ版の Confidential VMs のリリースを発表しました。そしてこのたび、Google Cloud の Confidential Computing ポートフォリオを拡大するにあたり、これに関する 2 つのお知らせがあります。

  • Confidential Computing ポートフォリオの 2 番目のプロダクト、Confidential GKE Node のベータ版が間もなくリリースされます(GKE 1.18 リリースで利用可能)。これにより、企業が Google Kubernetes Engine(GKE)で Kubernetes クラスタを活用したい場合に、機密ワークロードに対する追加オプションを提供できます。
  • Confidential VMs の一般提供も開始します。Google Cloud のお客様は、今後数週間以内にこの機能をご利用いただけるようになります。また、これにはベータ版に追加された新機能も含まれています。

Video Thumbnail

コンテナ ワークロードに Confidential Computing を活用

Google Cloud のお客様は、既存のアプリケーションをモダナイズしてクラウド ネイティブのアプリケーションの構築を進める際、その基盤として GKE を使うことが増えています。アプリケーションのモダナイズは、セキュリティをモダナイズする機会にもなります。Google では Confidential Computing ポートフォリオの構築を検討する際、コンテナ化されたワークロードに今までにない機密性保持とポータビリティを提供したいと考えました。Google Cloud の Confidential GKE Node は、Confidential VMs と同じテクノロジー基盤上に構築されているため、AMD EPYC プロセッサで生成、管理されるノード固有の専用のキーを使用して、データを暗号化した状態でメモリに保持できます。

つまり、Confidential GKE Node は、Confidential VMs 機能を備えたノードプールのみをデプロイするように GKE クラスタを構成できます。Confidential GKE Node が有効なクラスタでは、すべてのワーカーノードに対して Confidential VMs の使用が自動的に適用されます。Confidential GKE Node は、AMD EPYC™ プロセッサにより使用される AMD Secure Encrypted Virtualization 機能を搭載したハードウェア メモリ暗号化を使用します。つまり、機密ノードで実行されるワークロードは使用中に暗号化されるということになります。

来月、Confidential GKE Node に関する発表がありますので、どうぞご期待ください。

Confidential VM の一般提供開始

Google Cloud では、さまざまな分離手法とサンドボックス化手法を導入し、マルチテナント アーキテクチャの安全性を確保しています。Confidential VMs は、メモリ暗号化を使用してワークロードやテナントの相互分離や、クラウド インフラストラクチャからの分離をさらに進め、このような安全性を次のレベルに引き上げます。Google Compute Engine のワークロードのメモリを保護するために、リフト&シフトと新しく作成したワークロードの両方に使いやすいオプションを提供しています。

Thales のデジタル ファクトリ部門バイス プレジデントである Raphaël de Cormis 氏は次のように述べています。「Confidential Computing が提供する保存時、転送中、使用中に関係なくクラウドの機密データを暗号化できる機能は、企業にとって非常に魅力的です。Google Cloud の Confidential VMs がこのようなレベルの分離を使いやすいパッケージで提供することで、当社のお客様はシームレスかつコスト効率の高い方法でコンプライアンスとプライバシーを実現できるでしょう。」

Confidential VMs は、特に要求の厳しいコンピューティング タスクを高パフォーマンスで処理しながら、VM ごとの専用のインスタンス キー(AMD EPYC プロセッサ内に組み込まれている AMD Secure プロセッサで生成、管理される)を使用して VM メモリを常に暗号化します。Confidential VMs は 240 vCPU、896 GiB メモリまでスケーリングでき、パフォーマンスを大幅に低下させることなく使用できます。

AMD でデータセンター エコシステム部門のコーポレート バイス プレジデントを務める Raghu Nambiar 氏は、次のように述べています。「AMD EPYC プロセッサ内の高度なセキュリティ機能である Secure Encrypted Virtualization が、Google Cloud の Confidential VMs から Confidential GKE Node に拡張されることを大変嬉しく思います。AMD EPYC プロセッサと Google Cloud の Confidential Computing ポートフォリオを活用することで、お客様のデータの安全性を確保し、お客様が自信を持って簡単にアプリケーションをクラウドへと移行できるようになります。」

基盤となるテクノロジーに基づいて、Confidential VMs では次の新機能が提供されます。

1. コンプライアンスの監査レポート: Confidential VMs インスタンスのキー生成を行う AMD Secure Processor Firmware の整合性に関する詳細なログが監査レポートに含まれるようになりました。VM の初回起動時に整合性ベースラインを確立し、VM が再起動されるたびにその整合性ベースラインと照合します。こうしたログに応じて、カスタム アクションやアラートを設定することもできます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/Audit_reports.gif
監査レポート

2. Confidential Computing リソースの新しいポリシー管理: IAM の組織のポリシーを使用して Confidential VMs の特定のアクセス権限を定義できるようになりました。また、プロジェクトで実行している Confidential VMs 以外の VM を無効にすることもできます。このポリシーが適用されると、そのプロジェクト内で Confidential VMs 以外の VM を起動しようとすると失敗します。Confidential Computing を提供するサービスが拡大するに従って、このような IAM ポリシーは、プロジェクトやフォルダ、組織でどの Confidential Computing リソースを有効にするかを管理するのに役立ちます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Policy_controls_for_Confidential_VMs.max-2000x2000.png
Confidential VMs のポリシー管理

3. その他の適用メカニズムとの統合:共有 VPC組織のポリシーの制約ファイアウォール ルールを組み合わせて使用することで、Confidential VMs が他の Confidential VMs とのみやり取りできるようにすることが可能です。異なるプロジェクト内に存在する場合でも対応できます。また、VPC Service Controls を使用して、Confidential VMs 用の GCP リソースの境界を定義することもできます。たとえば、Confidential VMs のサービス アカウントのみがアクセスできるように Google Cloud Storage バケットを構成できます。

4. Confidential VMs で安全に機密を共有: Confidential VMs の使用中、外部キーで暗号化された機密ファイルを処理しなくてはならない場合があります。これに対応するには、ファイルの暗号テキストと暗号鍵を Confidential VM で共有する必要があります。このような機密データの共有が確実かつ安全に行われるように、Confidential VMs は仮想トラステッド プラットフォーム モジュール(vTPM)を使用できます。go-tpm オープンソース ライブラリを使用すると、API を使って機密データを Confidential VM の vTPM にバインドできます。

変革を起こすテクノロジー

先駆的なテクノロジーは、さまざまな問題を解決し、暮らしを改善します。Confidential Computing なら、組織は機密性とプライバシーを保持しながら、クラウドでのデータ処理方法を変革していくことができます。このテクノロジーが、お客様のビジネスに与える可能性を目の当たりにするのを楽しみにしています。Confidential VMs は今すぐ使用を開始していただけます。また、こちらにご登録いただくと、Confidential GKE Node のベータ版が利用可能になったときに通知が届きます。


-クラウド セキュリティ部門エンジニアリング担当ゼネラル マネージャー兼バイス プレジデント Sunil Potti

-アプリケーション モダナイゼーション プラットフォーム部門エンジニアリング担当ゼネラル マネージャー兼バイス プレジデント Eyal Manor

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/Cloud_CISO_Perspectives_header_4_Blue.max-700x700.png
Security & Identity

Cloud CISO の視点: 以前のテクノロジーに伴う高額なセキュリティ コスト

執筆者: Phil Venables • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/expanding_CVE.max-700x700.jpg
Security & Identity

Google Cloud、CVE プログラムの拡張によりセキュリティと透明性への取り組みを強化

執筆者: Sri Tulasiram • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/09_-_Data_Analytics_tFH57V6.max-700x700.jpg
Data Analytics

データ エコシステムの保護: Google Cloud の多層アプローチ

執筆者: Nic Smith • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/state_of_dora_2024.max-700x700.jpg
DevOps & SRE

DORA レポート第 10 版のハイライト

執筆者: Nathen Harvey • 所要時間: 8 分