Confidential VM und Compute Engine

Eine vertrauliche virtuelle Maschine (Confidential VM) ist eine Compute Engine-VM vom Typ N2D, die auf Hosts ausgeführt wird. Diese Hosts basieren auf der zweiten Generation von AMD Epyc-Prozessoren, welche den Codenamen „Rome“ tragen. Durch die Verwendung von AMD Secure Encrypted Virtualization (SEV) verfügt Confidential VM über eine integrierte Optimierung sowohl der Leistung als auch der Sicherheit für Arbeitslasten der Enterprise-Klasse mit hohem Speicherbedarf sowie über eine Inline-Speicherverschlüsselung, die keine signifikanten Leistungseinbußen bei diesen Arbeitslasten verursacht.

Sie können den Confidential VMs-Dienst bei der Erstellung einer neuen VM mit der Google Cloud Console, der Compute Engine API oder dem gcloud-Befehlszeilentool auswählen.

Leistungsvorteile

Die AMD Rome-Prozessorfamilie ist speziell für rechenintensive Arbeitslasten optimiert, mit einer hohen Speicherkapazität, einem hohen Durchsatz und der Unterstützung paralleler Arbeitslasten. Darüber hinaus bietet AMD SEV Unterstützung für Confidential Computing.

Mit AMD SEV wird selbst bei anspruchsvollsten Rechenaufgaben eine hohe Leistung erzielt, während der gesamte Speicher jederzeit verschlüsselt bleibt. Der jeweils eingesetzte und für jede VM dedizierte Schlüssel wird von der Hardware generiert. Diese Schlüssel werden vom AMD Platform Security Processor (PSP) während der VM-Erstellung generiert und befinden sich ausschließlich innerhalb des Prozessors. Google kann auf diese Schlüssel nicht zugreifen.

Sicherheits- und Datenschutzfeatures

Zusätzlich zu der Verschlüsselung von Daten bei der Übertragung und von inaktiven Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (customer-managed encryption keys, CMEK) und vom Kunden bereitgestellten Verschlüsselungsschlüsseln (customer-supplied encryption keys, CSEK) fügt Confidential VM dem End-to-End-Verschlüsselungskonzept einen „dritten Pfeiler“ hinzu, indem Daten während der Verwendung verschlüsselt werden. Mit den vertraulichen Ausführungsumgebungen, die von Confidential VM und AMD SEV bereitgestellt werden, hält Google Cloud den sensiblen Code und andere Daten von Kunden während der Verarbeitung verschlüsselt. Google hat keinen Zugriff auf die Verschlüsselungsschlüssel. Darüber hinaus kann Confidential VM dabei helfen, mögliche Bedenken gegenüber Risiken im Zusammenhang mit der Abhängigkeit von der Google-Infrastruktur oder dem Zugriff von Google-Insidern auf unverschlüsselte Kundendaten ausräumen.

Die Verschlüsselung des Hauptarbeitsspeichers wird mithilfe von dedizierter Hardware in den On-Die-Controllern des Arbeitsspeichers durchgeführt. Jeder Controller bietet eine leistungsstarke AES-Engine (Advanced Encryption Standard). Die AES-Engine verschlüsselt Daten, während sie in den DRAM geschrieben oder zwischen Sockets geteilt werden, und entschlüsselt sie, wenn daraus gelesen wird.

Nächste Schritte