N2D VM および C2D VM を使った高パフォーマンス Confidential Computing のご紹介

※この投稿は米国時間 2022 年 5 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。

最新の Google Compute Engine N2D および C2D 仮想マシンを使った Confidential Computing を発表いたします。Google Cloud は、常に提供するサービスのパフォーマンス向上と機能強化に努めています。昨年 11 月、第 3 世代 AMD EPYC™ プロセッサを搭載した汎用N2D マシンタイプの一般提供を発表いたしました。そして 2 月には同じ第 3 世代プロセッサを搭載し、コンピューティング最適化された C2D マシンタイプの一般提供を発表いたしました。本日は、新しい N2D および C2D のマシンタイプの両方で Confidential Computing が提供できるようになったことをお知らせいたします。

Google Cloud では、お客様とデータセンター間での転送中も、保存中もすべてのデータがデフォルトで暗号化されます。Google は、今後コンピューティングは秘匿化や暗号化がさらに進み、ユーザーはクラウド プロバイダや自社の内部関係者にデータがさらされないという確信を持つことができるようになっていくと考えています。そして、この未来を可能にできるのが Confidential Computing です。Confidential Computing はデータの処理中に、メモリ内や CPU 外のどの場所でも、データが暗号化されている状態を保持します。アプリケーションのコードを変更する必要はありません。

N2D の汎用 Confidential VMs

Google Cloud の Confidential Computing ポートフォリオ初のプロダクトは Confidential VMs です。Confidential VMs は Compute Engine VM の一種で、データとアプリケーションが使用中の場合でも機密性を保持し、暗号化されるようにします。

現在 Confidential VMs は第 3 世代 AMD EPYC プロセッサ搭載の汎用 N2D マシンタイプがプレビュー版としてご利用いただけます。Google は AMD Cloud Solution のエンジニア チームと密接に連携して、ワークロード パフォーマンスを妨げない VM メモリ暗号化を実現しました。

N2D VM は汎用ワークロードとより大きな VM やメモリ比率が必要なワークロードの両方に最適なオプションです。ウェブ アプリケーションやデータベースなど、バランスのとれたコンピューティングとメモリを要する汎用ワークロードでは、N2D が提供するパフォーマンス、価格、さまざまな機能のメリットを活かすことができます。

C2D のコンピューティング最適化された Confidential VMs

また、Google はさまざまなワークロード タイプ用に Confidential Computing を最適化しています。現在、Confidential VMs はコンピューティング最適化された C2D マシンタイプでもプレビュー版がご利用いただけます。C2D インスタンスはコンピューティング最適化 VM ファミリーの中で最大の VM サイズを提供し、ハイ パフォーマンス データベースやハイ パフォーマンス コンピューティング（HPC）ワークロードなどのメモリ依存型ワークロードに最適です。

コンピューティング最適化マシン ファミリーを Confidential Computing ポートフォリオに追加することで、機密性を維持しながらパフォーマンス重視のワークロードを最適化できるようになります。またより多くのワークロードを簡単に機密ワークロードに切り替えられるようになりました。

先行ユーザーの所見

クラウド ワークロード管理会社の YellowDog は C2D VM ファミリーの新しい Confidential VMs を早くから利用しているお客様です。

「YellowDog は安全なクラウド コンピューティングの導入に障壁はあるべきではないと信じています。当社は第 3 世代 AMD EPYC プロセッサを搭載した新しい Google C2D VM を使う何万ものコアでワークロードを試験的に運用しました。

Confidential VMs がプロビジョニング時間において優秀であり、C2D VM が Confidential Computing を有効にした場合も、無効の場合も、パフォーマンスに大差なく稼働したことに深い感銘を受けました」と YellowDog の CTO、Simon Ponsford 氏は述べています。「YellowDog は、Google Cloud で保護されたワークロードを実行しているユーザーは Confidential Computing 機能をデフォルトで有効にすることをおすすめします。」

Confidential Computing の可用性を広げる

Google は Confidential Computing の可用性を広げています。以前より多くのリージョンやゾーンで Confidential VMs が利用できるようになり、N2D マシンまたは C2D マシンが利用できる場所であればどこでも利用できるようになりました。Confidential N2D VMs と Confidential C2D VMs は現在、us-central1（アイオワ州）、asia-southeast1（シンガポール）、us-east1（サウスカロライナ州）、us-east4（バージニア州北部）、asia-east1（台湾）、europe-west4（オランダ）を含む世界各地のリージョンで利用可能となっています。

Confidential VMs の基盤

第 3 世代 AMD EPYC プロセッサ搭載の Confidential N2D VMs と Confidential C2D VMs では AMD Secure Encrypted Virtualization（SEV）を活用しています。AMD SEV 機能を搭載した Confidential VMs は、VM ごとに専用のインスタンス キー（プロセッサで生成、管理される）を使用して VM メモリを常に暗号化しながら、要求の厳しいコンピューティング タスクを高パフォーマンスで処理します。これらのキーは VM 作成時にプロセッサで生成されて VM 内のみに置かれるため、Google や同一ホスト上で稼働している他の VM がアクセスすることはできません。現在は第 3 世代 AMD EPYC プロセッサで SEV をサポートしていますが、今後より高度な機能が追加される予定です。

料金

第 3 世代 AMD EPYC プロセッサ搭載の Confidential N2D VMs と Confidential C2D VMs は先代の Confidential N2D VMs と同じ料金で提供いたします。またスポット料金でコストを削減することも可能です。詳細については Confidential VMs の料金をご覧ください。

現行の Confidential Computing への投資

本日の発表は Google Cloud Security チーム、Google Project Zero、AMD ファームウェアおよびプロダクトのセキュリティ チームが協力して行った、AMD Confidential Computing テクノロジーを支えるテクノロジーとファームウェアに関するレビューに続くものです。Google Cloud と AMD は、機密性の高いワークロードの保護と今後の Confidential Computing のイノベーションの形成に尽力しています。

スタートガイド

既存の Confidential N2D VMs を簡単にアップグレードして、第 3 世代 AMD EPYC プロセッサを使用できます。Confidential N2D マシンをすでに使っている場合やこれから使い始める場合は、CPU プラットフォームとして「AMD Milan またはそれ以降」を選択するだけで最新ハードウェアを使用できます。

Confidential C2D VMs を作成するには、新しい VM を作成する際に C2D オプションを選択し、Google Cloud コンソールの [Confidential VMs サービス] のチェックボックスをオンにします。

Confidential Computing を使えば、N2D および C2D の VM 上でデータを保護し、最も機密性の高いアプリケーションやサービスを実行できます。