Confidential VM et Compute Engine

Les machines virtuelles confidentielles (Confidential VM) sont des types de VM Compute Engine N2D qui s'exécutent sur des hôtes basés sur la deuxième génération de processeurs AMD Epyc, dont le nom de code est "Rome". Basée sur AMD SEV (Secure Virtual Encrypted Virtualization), Confidential VM optimise à la fois les performances et la sécurité pour les charges de travail professionnelles à haute capacité de mémoire, et inclut un chiffrement intégré de la mémoire qui n'affecte pas de manière significative les performances de ces charges de travail.

Ces fonctionnalités vous permettent de chiffrer en permanence vos données et vos applications, y compris lors du traitement de données sensibles en mémoire. Google n'a pas accès aux clés de chiffrement. En parallèle du chiffrement des données en transit et au repos à l'aide de clés de chiffrement gérées par le client (CMEK) et fournies par le client (CSEK), Confidential VM ajoute un "troisième pilier" au processus de chiffrement de bout en bout en chiffrant les données en cours d'utilisation. En outre, Confidential VM peut vous aider à réduire les inquiétudes liées au risque de dépendance vis-à-vis de l'infrastructure Google ou à l'accès en clair des collaborateurs Google aux données client.

Vous pouvez sélectionner le service Confidential VM lors de la création d'une VM à l'aide de Google Cloud Console, de l'API Compute Engine (version bêta) ou de l'outil de ligne de commande gcloud.

Avantages pour les utilisateurs

La famille de processeurs Rome d'AMD est spécialement optimisée pour les charges de travail utilisant beaucoup de ressources de calcul, grâce à une capacité de mémoire et un débit élevés, et une compatibilité avec les charges de travail parallèles. De plus, AMD SEV fournit une assistance pour l'informatique confidentielle.

AMD SEV offre de hautes performances pour les tâches de calcul les plus exigeantes, tout en maintenant chiffrée l'intégralité de la mémoire grâce à une clé d'instance dédiée et générée matériellement pour chaque VM. Ces clés sont générées par PSP (Platform Security Processor), le processeur de sécurité de la plate-forme AMD, lors de la création de la VM. Elles ne résident que dans le processeur et ne sont pas accessibles par Google.

Fonctionnalités de sécurité et de confidentialité

Grâce aux environnements d'exécution confidentiels fournis par Confidential VM et AMD SEV, Google Cloud maintient chiffrés en mémoire le code sensible et les autres données des clients, lors de leur traitement.

Le chiffrement de la mémoire garantit que les données sont chiffrées lorsqu'elles se trouvent en mémoire RAM. Le chiffrement de la mémoire principale est effectué à l'aide de ressources matérielles dédiées, intégrées aux contrôleurs mémoire sur puce. Chaque contrôleur inclut un moteur AES (Advanced Encryption Standard) hautes performances. Le moteur AES chiffre les données lors de leur écriture dans la mémoire vive dynamique (DRAM) ou de leur partage entre les sockets, et les déchiffre lors de la lecture des données. Le contenu de la mémoire est ainsi bien plus résistant aux attaques d'espionnage des ressources mémoire et de démarrage à froid.

Étapes suivantes