Una máquina virtual confidencial (Confidential VM) es un tipo de VM N2D de Compute Engine que se ejecuta en hosts basados en la segunda generación de procesadores Epyc de AMD, cuyo nombre interno es “Rome”. Si usas Secure Encrypted Virtualization (SEV) de AMD, Confidential VMs incluye una optimización incorporada del rendimiento y de la seguridad para las cargas de trabajo de alta memoria de nivel empresarial, así como la encriptación de memoria integrada que no implica una penalización de rendimiento significativa para esas cargas de trabajo.
Puedes seleccionar el servicio de VM confidencial cuando crees una VM nueva con Google Cloud Console, la API de Compute Engine o la herramienta de línea de comandos de gcloud
.
Beneficios de rendimiento
La familia de procesadores Rome de AMD está optimizada de forma específica para cargas de trabajo de mucho procesamiento, con una alta capacidad de memoria y procesamiento y compatibilidad con cargas de trabajo simultáneas. Además, la SEV de AMD ofrece asistencia para Confidential Computing.
La SEV de AMD ofrece un alto rendimiento para las tareas de procesamiento más exigentes y, al mismo tiempo, mantiene toda la memoria encriptada con una clave de instancia dedicada por VM que genera el hardware. El procesador de seguridad de la plataforma (PSP) de AMD genera estas claves durante la creación de la VM y se encuentra solo dentro del procesador. Google no puede acceder a estas claves.
Funciones de seguridad y privacidad
Junto con la encriptación de los datos en tránsito y en reposo mediante las claves de encriptación administradas por el cliente (CMEK) y las claves de encriptación proporcionadas por el cliente (CSEK), Confidential VM agrega un “tercer pilar” a la historia de la encriptación de extremo a extremo mediante la encriptación de datos en uso. Con los entornos de ejecución confidenciales que proporcionan Confidential VM y SEV de AMD, Google Cloud mantiene el código sensible y otros datos de los clientes encriptados en la memoria durante el procesamiento. Google no tiene acceso a las claves de encriptación. Además, Confidential VM puede ayudarte a disminuir las preocupaciones sobre el riesgo relacionado con la dependencia de la infraestructura de Google o el acceso de los usuarios con información privilegiada de Google a los datos sin encriptación de los clientes.
La encriptación de la memoria principal se realiza mediante el hardware dedicado dentro de los controladores de memoria en matriz. Cada controlador incluye un motor de estándar de encriptación avanzada (AES) de alto rendimiento. El motor de AES encripta los datos a medida que se escriben en DRAM o se comparten entre sockets y los desencripta cuando se leen.
¿Qué sigue?
- Para comenzar a crear con rapidez una instancia nueva de Confidential VM, consulta la Guía de inicio rápido: Crea una instancia de Confidential VM.
- Para obtener instrucciones detalladas sobre cómo crear una instancia nueva de Confidential VM, consulta Crea una instancia de Confidential VM.
- Para obtener información sobre cómo supervisar el estado de tu instancia de Confidential VM, consulta Valida Confidential VMs mediante Cloud Monitoring.