Concepts lié à l'informatique confidentielle

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page présente les concepts et la terminologie clés des Confidential VMs. Pour commencer à utiliser une Confidential VM, consultez le guide de démarrage rapide.

Informatique confidentielle

L'informatique confidentielle est la protection des données utilisées à l'aide d'un environnement d'exécution de confiance (TEE) basé sur le matériel. Les TEE sont des environnements sécurisés et isolés qui empêchent les accès ou les modifications non autorisés des applications et des données lorsqu'elles sont utilisées. Cette norme de sécurité est définie par le Consortium d'informatique confidentielle.

Chiffrement de bout en bout

Le chiffrement de bout en bout comporte trois états.

  • Le chiffrement au repos protège vos données pendant leur stockage.
  • Le chiffrement en transit protège vos données lorsqu'elles sont transférées entre deux points.
  • Le chiffrement en cours d'utilisation protège vos données pendant leur traitement.

L'informatique confidentielle fournit le dernier élément de chiffrement de bout en bout : le chiffrement en cours d'utilisation.

Confidential VM

Une Confidential VM est un type de VM Compute Engine qui garantit la confidentialité et le chiffrement de vos données et de vos applications même lorsqu'elles sont utilisées. Vous pouvez utiliser une Confidential VM pour votre stratégie de sécurité afin de ne pas exposer de données sensibles ni de charges de travail lors du traitement.

Une Confidential VM s'exécute sur des hôtes dotés de processeurs AMD EPYC basés sur AMD SEV (Secure Encrypted Virtualization). L'intégration de SEV à une Confidential VM offre les avantages et les fonctionnalités suivants.

  • Isolation: les clés de chiffrement sont générées par AMD Secure Processor (SP), lors de la création de la VM. Elles ne résident que dans le système AMD System-On-Chip (SOC) Ces clés ne sont même pas accessibles par Google, ce qui offre une meilleure isolation.

  • Attestation : Confidential VM utilise l'attestation du module vTPM (Virtual Trusted Platform Module). À chaque démarrage d'une Confidential VM basée sur AMD SEV, un événement de rapport d'attestation de lancement est généré.

  • Performances élevées : AMD SEV offre des hautes performances pour les tâches de calcul exigeantes. L'activation de Confidential VM a peu ou pas d'impact sur la plupart des charges de travail, avec seulement une dégradation des performances de 0 à 6 %.

Activer les Confidential VMs

Vous pouvez activer l'informatique confidentielle lorsque vous créez une VM. La création d'une Confidential VM ne nécessite qu'une case à cocher supplémentaire ou une à deux lignes de code supplémentaires par rapport à la création d'une VM standard. Vous pouvez continuer à utiliser les autres outils et workflows que vous maîtrisez déjà. L'intégration de l'informatique confidentielle ne nécessite aucune modification de vos applications existantes.

Autres services d'informatique confidentielle

Google Cloud propose également les services d'informatique confidentielle suivants :

Étape suivante