Confidential VM y Compute Engine

Una máquina virtual confidencial (Confidential VM) es un tipo de VM N2D de Compute Engine que se ejecuta en hosts basados en la segunda generación de procesadores Epyc de AMD, cuyo nombre interno es “Rome”. Mediante la virtualización encriptada segura (SEV) de AMD, Confidential VM optimiza el rendimiento y la seguridad para las cargas de trabajo de memoria alta de nivel empresarial e incluye una encriptación de memoria intercalada que no implica una penalización de rendimiento significativa para esas cargas de trabajo.

Estas capacidades te permiten mantener tus datos y apps encriptados en todo momento, incluso mientras se procesan datos sensibles en la memoria. Google no tiene acceso a las claves de encriptación. Junto con la encriptación de los datos en tránsito y en reposo mediante las claves de encriptación administradas por el cliente (CMEK) y las claves de encriptación proporcionadas por el cliente (CSEK), Confidential VM agrega un “tercer pilar” a la historia de la encriptación de extremo a extremo mediante la encriptación de datos en uso. Además, Confidential VM puede ayudarte a disminuir las preocupaciones sobre el riesgo relacionado con la dependencia de la infraestructura de Google o el acceso de los usuarios con información privilegiada de Google a los datos sin encriptación de los clientes.

Puedes seleccionar el servicio de Confidential VM cuando creas una VM nueva mediante Google Cloud Console, la API Beta de Compute Engine o la herramienta de línea de comandos de gcloud.

Beneficios para los usuarios

La familia de procesadores Rome de AMD está optimizada de forma específica para cargas de trabajo de mucho procesamiento, con una alta capacidad de memoria y procesamiento y compatibilidad con cargas de trabajo simultáneas. Además, la SEV de AMD ofrece asistencia para Confidential Computing.

La SEV de AMD ofrece un alto rendimiento para las tareas de procesamiento más exigentes y, al mismo tiempo, mantiene toda la memoria encriptada con una clave de instancia dedicada por VM que genera el hardware. El procesador de seguridad de la plataforma (PSP) de AMD genera estas claves durante la creación de la VM y se encuentra solo dentro del procesador. Google no puede acceder a estas claves.

Funciones de seguridad y privacidad

Con los entornos de ejecución confidenciales que proporcionan Confidential VM y SEV de AMD, Google Cloud mantiene el código sensible y otros datos de los clientes encriptados en la memoria durante el procesamiento.

La encriptación de la memoria garantiza que los datos se encripten mientras están en la RAM. La encriptación de la memoria principal se realiza mediante el hardware dedicado dentro de los controladores de memoria en matriz. Cada controlador incluye un motor de estándar de encriptación avanzada (AES) de alto rendimiento. El motor de AES encripta los datos a medida que se escriben en DRAM o se comparten entre sockets y los desencripta cuando se leen. Esto hace que el contenido de la memoria sea más resistente a la detección de memoria y los ataques de inicio en frío.

Próximos pasos