Conceptos de Confidential Computing

En esta página, se analizan los conceptos clave y la terminología de Confidential VM. Para comenzar a usar Confidential VM, consulta la guía de inicio rápido.

Confidential Computing

Confidential Computing es la protección de los datos en uso con entorno de ejecución confiable (TEE) basado en hardware. Los TEE son entornos seguros y aislados que evitan el acceso o la modificación no autorizados de aplicaciones y datos mientras están en uso. El Consorcio de Confidential Computing define este estándar de seguridad.

Encriptación de extremo a extremo

La encriptación de extremo a extremo se compone de tres estados.

  • La encriptación en reposo protege tus datos mientras se almacenan.
  • La encriptación en tránsito protege tus datos cuando se mueven entre dos puntos.
  • La encriptación en uso protege tus datos mientras se procesan.

Confidential Computing proporciona la última parte de la encriptación de extremo a extremo: encriptación en uso.

Confidential VM

Una Confidential VM es un tipo de VM de Compute Engine que garantiza que los datos y las aplicaciones permanezcan privados y encriptados incluso mientras se usan. Puedes usar una Confidential VM como parte de tu estrategia de seguridad para no exponer datos ni cargas de trabajo sensibles durante el procesamiento.

Confidential VM se ejecuta en hosts con procesadores AMD EPYC que incluyen Secure Encrypted Virtualization (SEV) de AMD. La incorporación de SEV en Confidential VM proporciona los siguientes beneficios y funciones.

  • Aislamiento: Secure Processor (SP) de AMD genera claves de encriptación durante la creación de la VM, las que residen solo dentro del sistema en chip (SoC) de AMD. Ni siquiera Google puede acceder a estas claves, lo que ofrece un aislamiento mejorado.

  • Certificación: Confidential VM usa la certificación del Módulo de plataforma segura virtual (vTPM). Cada vez que se inicia una Confidential VM basada en SEV de AMD, se genera un evento de informe de certificación de inicio.

  • Alto rendimiento: SEV de AMD ofrece alto rendimiento para tareas de procesamiento exigentes. Habilitar Confidential VM tiene un impacto leve o nulo en la mayoría de las cargas de trabajo, con una degradación del rendimiento del 0 al 6% solamente.

Habilita Confidential VM

Puedes habilitar Confidential Computing cada vez que crees una VM nueva. La creación de una Confidential VM solo requiere una casilla de verificación adicional o 1 o 2 líneas de código más que la creación de una VM estándar. Puedes seguir usando las otras herramientas y flujos de trabajo con los que ya estás familiarizado. Agregar Confidential Computing no requiere cambios en tus aplicaciones existentes.

Otros servicios de Confidential Computing

Google Cloud también ofrece los siguientes servicios de Confidential Computing:

¿Qué sigue?