Confidential VM und Compute Engine

Eine vertrauliche virtuelle Maschine (Confidential VM) ist eine Compute Engine-VM vom Typ N2D, die auf Hosts ausgeführt wird. Diese Hosts basieren auf der zweiten Generation von AMD Epyc-Prozessoren, welche den Codenamen "Rome" tragen. Mithilfe von AMD Secure Encrypted Virtualization (SEV) optimiert Confidential VM sowohl die Leistung als auch die Sicherheit von speicherintensiven Arbeitslasten auf Unternehmensniveau und umfasst eine Inline-Speicherverschlüsselung, die für diese Arbeitslasten keine nennenswerten Leistungseinbußen mit sich bringt.

Mit diesen Funktionen können Sie Ihre Daten und Anwendungen jederzeit verschlüsselt halten, auch während Sie sensible Daten im Speicher verarbeiten. Google hat keinen Zugriff auf die Verschlüsselungsschlüssel. Zusätzlich zu der Verschlüsselung von Daten bei der Übertragung und von inaktiven Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (customer-managed encryption keys, CMEK) und vom Kunden bereitgestellten Verschlüsselungsschlüsseln (customer-supplied encryption keys, CSEK), fügt Confidential VM dem End-to-End-Verschlüsselungskonzept einen "dritten Pfeiler" hinzu, indem Daten während der Verwendung verschlüsselt werden. Darüber hinaus kann Confidential VM dabei helfen, mögliche Bedenken gegenüber Risiken im Zusammenhang mit der Abhängigkeit von der Google-Infrastruktur oder dem Zugriff von Google-Insidern auf unverschlüsselte Kundendaten ausräumen.

Sie können den Confidential VM-Dienst auswählen, wenn Sie eine neue VM mit der Google Cloud Console, der Compute Engine Beta API oder dem gcloud-Befehlszeilentool erstellen.

Nutzervorteile

Die AMD Rome-Prozessorfamilie ist speziell für rechenintensive Arbeitslasten optimiert, mit einer hohen Speicherkapazität, einem hohen Durchsatz und der Unterstützung paralleler Arbeitslasten. Darüber hinaus bietet AMD SEV Unterstützung für Confidential Computing.

Mit AMD SEV wird selbst bei anspruchsvollsten Rechenaufgaben eine hohe Leistung erzielt, während der gesamte Speicher jederzeit verschlüsselt bleibt. Der jeweils eingesetzte und für jede VM dedizierte Schlüssel wird von der Hardware generiert. Diese Schlüssel werden vom AMD Platform Security Processor (PSP) während der VM-Erstellung generiert und befinden sich ausschließlich innerhalb des Prozessors. Google kann auf diese Schlüssel nicht zugreifen.

Sicherheits- und Datenschutzfeatures

Mit den vertraulichen Ausführungsumgebungen, die von Confidential VM und AMD SEV bereitgestellt werden, hält Google Cloud den sensiblen Code und andere Daten von Kunden während der Verarbeitung verschlüsselt.

Durch die Speicherverschlüsselung wird gewährleistet, dass Daten verschlüsselt sind, während sie sich im RAM befinden. Die Verschlüsselung des Hauptarbeitsspeichers wird mithilfe von dedizierter Hardware in den On-Die-Controllern des Arbeitsspeichers durchgeführt. Jeder Controller bietet eine leistungsstarke AES-Engine (Advanced Encryption Standard). Die AES-Engine verschlüsselt Daten, während sie in den DRAM geschrieben oder zwischen Sockets geteilt werden, und entschlüsselt sie, wenn daraus gelesen wird. Dadurch wird der Speicherinhalt besser gegen Ausspionieren und Kaltstartangriffe geschützt.

Nächste Schritte