컨피덴셜 컴퓨팅 개념

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 컨피덴셜 VM의 주요 개념 및 용어에 대해 설명합니다. 컨피덴셜 VM을 사용하려면 빠른 시작을 참조하세요.

컨피덴셜 컴퓨팅

컨피덴셜 컴퓨팅은 하드웨어 기반의 신뢰할 수 있는 실행 환경(TEE)을 사용하여 사용 중 데이터를 보호하는 것을 의미합니다. TEE는 사용 중인 애플리케이션 및 데이터에 대해 승인되지 않은 액세스 또는 수정을 방지하는 보안 격리 환경입니다. 이 보안 표준은 컨피덴셜 컴퓨팅 컨소시엄에서 정의되었습니다.

엔드 투 엔드 암호화

엔드 투 엔드 암호화는 세 가지 상태로 구성됩니다.

  • 저장 데이터 암호화는 저장 중인 데이터를 보호합니다.
  • 전송 중인 데이터 암호화는 두 지점 간에 이동할 때 데이터를 보호합니다.
  • 사용 중 데이터 암호화는 처리 중인 데이터를 보호합니다.

컨피덴셜 컴퓨팅은 엔드 투 엔드 암호화의 마지막 부분에 해당하는 사용 중 데이터 암호화를 제공합니다.

컨피덴셜 VM

컨피덴셜 VM은 데이터와 애플리케이션이 사용 중에도 비공개로 유지되고 암호화되도록 보장하는 Compute Engine VM 유형입니다. 보안 전략의 일부로 컨피덴셜 VM을 사용하여 처리 중에 민감한 정보 또는 워크로드를 노출하지 않을 수 있습니다.

컨피덴셜 VM은 AMD Secure Encrypted Virtualization(SEV)을 사용하는 AMD EPYC 프로세서가 있는 호스트에서 실행됩니다. SEV를 컨피덴셜 VM에 통합하면 다음과 같은 이점과 기능이 제공됩니다.

  • 격리: 암호화 키는 VM을 생성하는 동안 AMD SP(Secure Processor)에 의해 생성되며 AMD SOC(System-On-Chip) 내에만 있습니다. Google에서도 이러한 키에 액세스할 수 없으므로 향상된 격리 수준을 제공합니다.

  • 증명: 컨피덴셜 VM에는 Virtual Trusted Platform Module(vTPM) 증명이 사용됩니다. AMD SEV 기반 컨피덴셜 VM이 부팅될 때마다 출시 증명 보고서 이벤트가 생성됩니다.

  • 고성능: AMD SEV는 까다로운 컴퓨팅 태스크를 위한 고성능을 제공합니다. 컨피덴셜 VM을 사용 설정하면 단지 0-6% 성능 저하만 있고 대부분의 워크로드에 영향을 거의 주지 않습니다.

컨피덴셜 VM 사용 설정

새 VM을 만들 때마다 컨피덴셜 컴퓨팅을 사용 설정할 수 있습니다. 컨피덴셜 VM 만들기를 위해서는 표준 VM을 만들 때보다 추가 체크박스 또는 1-2개 줄이 더 필요합니다. 이미 익숙한 다른 도구 및 워크플로를 계속 사용할 수 있습니다. 컨피덴셜 컴퓨팅을 추가할 때는 기존 애플리케이션을 변경할 필요가 없습니다.

기타 컨피덴셜 컴퓨팅 서비스

Google Cloud는 또한 다음과 같은 컨피덴셜 컴퓨팅 서비스를 제공합니다.

다음 단계