Confidential VM et Compute Engine

Les machines virtuelles confidentielles (Confidential VM) sont des types de VM Compute Engine N2D qui s'exécutent sur des hôtes basés sur la deuxième génération de processeurs AMD Epyc, dont le nom de code est "Rome". Grâce à l'utilisation d'AMD Secure Encrypted Virtualization (SEV), la VM confidentielle offre une optimisation intégrée des performances et de la sécurité pour les charges de travail de haute qualité, ainsi qu'un chiffrement de mémoire intégré n'introduisant pas de pénalités significatives en termes de performances à ces charges de travail.

Vous pouvez sélectionner le service Confidential VM lors de la création d'une VM à l'aide de Google Cloud Console, de l'API Compute Engine ou de l'outil de ligne de commande gcloud.

Avantages en matière de performance

La famille de processeurs Rome d'AMD est spécialement optimisée pour les charges de travail utilisant beaucoup de ressources de calcul, grâce à une capacité de mémoire et un débit élevés, et une compatibilité avec les charges de travail parallèles. De plus, AMD SEV fournit une assistance pour l'informatique confidentielle.

AMD SEV offre de hautes performances pour les tâches de calcul les plus exigeantes, tout en maintenant chiffrée l'intégralité de la mémoire grâce à une clé d'instance dédiée et générée matériellement pour chaque VM. Ces clés sont générées par PSP (Platform Security Processor), le processeur de sécurité de la plate-forme AMD, lors de la création de la VM. Elles ne résident que dans le processeur et ne sont pas accessibles par Google.

Fonctionnalités de sécurité et de confidentialité

En parallèle du chiffrement des données en transit et au repos à l'aide de clés de chiffrement gérées par le client (CMEK) et fournies par le client (CSEK), Confidential VM ajoute un "troisième pilier" au processus de chiffrement de bout en bout en chiffrant les données en cours d'utilisation. Grâce aux environnements d'exécution confidentiels fournis par Confidential VM et AMD SEV, Google Cloud maintient chiffrés en mémoire le code sensible et les autres données des clients, lors de leur traitement. Google n'a pas accès aux clés de chiffrement. En outre, Confidential VM peut vous aider à réduire les inquiétudes liées au risque de dépendance vis-à-vis de l'infrastructure Google ou à l'accès en clair des collaborateurs Google aux données client.

Le chiffrement de la mémoire principale est effectué à l'aide de ressources matérielles dédiées, intégrées aux contrôleurs mémoire sur puce. Chaque contrôleur inclut un moteur AES (Advanced Encryption Standard) hautes performances. Le moteur AES chiffre les données lors de leur écriture dans la mémoire vive dynamique (DRAM) ou de leur partage entre les sockets, et les déchiffre lors de la lecture des données.

Étape suivante