Confidential VM と Compute Engine

Confidential Virtual Machine(Confidential VM)とは、「Rome」と呼ばれる AMD Epyc の第 2 世代をベースに実行される N2D Compute Engine VM の一種です。Confidential VM は AMD Secure Encrypted Virtualization(SEV)を使用して、エンタープライズ クラスのハイメモリ ワークロードのパフォーマンスとセキュリティをどちらも最適化します。また、これらのワークロードのパフォーマンスを損なうことのないインライン メモリ暗号化も備えています。

これらの機能によって、メモリで機密データを処理しているときも、常にデータとアプリを暗号化できます。Google には暗号鍵へのアクセス権はありません。顧客管理の暗号鍵(CMEK)顧客指定の暗号鍵(CSEK)を使用した転送中および保存中のデータの暗号化に加え、Confidential VM で使用中のデータも暗号化することで、エンドツーエンドの暗号化に「第三の柱」が加わります。さらに、Confidential VM は Google インフラストラクチャに依存することのリスク、または Google 内部者がお客様のデータへアクセスすることのリスクに対する懸念を軽減できます。

Google Cloud Console、Compute Engine API ベータ版、gcloud コマンドライン ツールを使用して新しい VM を作成するときに、Confidential VM サービスを選択できます。

ユーザーへのメリット

AMD Rome プロセッサ ファミリーは、特にコンピューティングの負荷が高いワークロード向けに最適化されており、メモリ容量とスループットに優れ、並列ワークロードをサポートします。さらに、AMD SEV は Confidential Computing をサポートします。

AMD SEV は、特に要求の厳しいコンピューティング タスクを高パフォーマンスで処理しながら、ハードウェアによって生成される、VM ごとの専用インスタンス キーですべてのメモリを常に暗号化します。これらの鍵は、VM の作成時に AMD Platform Security Processor(PSP)によって生成され、プロセッサ内にのみ格納されます。Google はこれらの鍵にアクセスできません。

セキュリティとプライバシーの機能

Confidential VM と AMD SEV によって実現する機密実行環境によって、Google Cloud はお客様の機密コードとその他のデータがメモリで処理されている最中も暗号化された状態に保ちます。

メモリを暗号化することで、RAM のデータも暗号化できます。主なメモリ暗号化は、オンダイメモリ コントローラ内の専用のハードウェアで行われます。各コントローラには、パフォーマンスの高い Advanced Encryption Standard(AES)エンジンが含まれます。AES エンジンは、データが DRAM に書き込まれるとき、またはソケット間で共有されるときに暗号化し、データが読み込まれるときに復号します。これにより、メモリ スヌーピングとコールドブート攻撃に対するメモリのコンテンツの耐性が強化されます。

次のステップ