Confidential VM y Compute Engine

Una máquina virtual confidencial (Confidential VM) es un tipo de VM N2D de Compute Engine que se ejecuta en hosts basados en la segunda generación de procesadores Epyc de AMD, cuyo nombre interno es “Rome”. Si usas Secure Encrypted Virtualization (SEV) de AMD, Confidential VMs incluye una optimización incorporada del rendimiento y de la seguridad para las cargas de trabajo de alta memoria de nivel empresarial, así como la encriptación de memoria integrada que no implica una penalización de rendimiento significativa para esas cargas de trabajo.

Puedes seleccionar el servicio de VM confidencial cuando crees una VM nueva con Google Cloud Console, la API de Compute Engine o la herramienta de línea de comandos de gcloud.

Beneficios de rendimiento

La familia de procesadores Rome de AMD está optimizada de forma específica para cargas de trabajo de mucho procesamiento, con una alta capacidad de memoria y procesamiento y compatibilidad con cargas de trabajo simultáneas. Además, la SEV de AMD ofrece asistencia para Confidential Computing.

La SEV de AMD ofrece un alto rendimiento para las tareas de procesamiento más exigentes y, al mismo tiempo, mantiene toda la memoria encriptada con una clave de instancia dedicada por VM que genera el hardware. El procesador de seguridad de la plataforma (PSP) de AMD genera estas claves durante la creación de la VM y se encuentra solo dentro del procesador. Google no puede acceder a estas claves.

Funciones de seguridad y privacidad

Junto con la encriptación de los datos en tránsito y en reposo mediante las claves de encriptación administradas por el cliente (CMEK) y las claves de encriptación proporcionadas por el cliente (CSEK), Confidential VM agrega un “tercer pilar” a la historia de la encriptación de extremo a extremo mediante la encriptación de datos en uso. Con los entornos de ejecución confidenciales que proporcionan Confidential VM y SEV de AMD, Google Cloud mantiene el código sensible y otros datos de los clientes encriptados en la memoria durante el procesamiento. Google no tiene acceso a las claves de encriptación. Además, Confidential VM puede ayudarte a disminuir las preocupaciones sobre el riesgo relacionado con la dependencia de la infraestructura de Google o el acceso de los usuarios con información privilegiada de Google a los datos sin encriptación de los clientes.

La encriptación de la memoria principal se realiza mediante el hardware dedicado dentro de los controladores de memoria en matriz. Cada controlador incluye un motor de estándar de encriptación avanzada (AES) de alto rendimiento. El motor de AES encripta los datos a medida que se escriben en DRAM o se comparten entre sockets y los desencripta cuando se leen.

¿Qué sigue?