Conceitos de computação confidencial

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você conhecerá os principais conceitos e a terminologia da VM confidencial. Para começar a usar a VM confidencial, consulte o guia de início rápido.

Computação confidencial

A Computação confidencial é a proteção dos dados em uso com o Ambiente de execução confiável baseado em hardware (TEE, na sigla em inglês). Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizada de aplicativos e dados enquanto estão em uso. Esse padrão de segurança é definido pelo Consputing Consortium.

Criptografia de ponta a ponta

A criptografia de ponta a ponta é composta por três estados.

  • A criptografia em repouso protege seus dados enquanto eles estão sendo armazenados.
  • A criptografia em trânsito protege seus dados quando eles estão sendo movidos entre dois pontos.
  • A criptografia em uso protege seus dados enquanto eles são processados.

A Computação confidencial fornece a última criptografia de ponta a ponta: criptografia em uso.

VM confidencial

As VMs confidenciais são um tipo de VM do Compute Engine que garante que seus dados e aplicativos permaneçam particulares e criptografados mesmo durante o uso. É possível usar uma VM confidencial como parte da sua estratégia de segurança para não expor cargas de trabalho ou dados confidenciais durante o processamento.

A VM confidencial é executada em hosts com processadores AMD EPYC que apresentam virtualização criptografada segura (SEV, na sigla em inglês) AMD. A incorporação do SEV na VM confidencial oferece os seguintes benefícios e recursos.

  • Isolamento: as chaves de criptografia são geradas pelo processador seguro (SP, na sigla em inglês) AMD durante a criação da VM e residem exclusivamente no System-Chip (SOC) AMD. Essas chaves nem mesmo são acessíveis pelo Google, oferecendo isolamento aprimorado.

  • Atestado: a VM confidencial usa o atestado do Módulo de plataforma confiável virtual (vTPM). Sempre que uma VM confidencial baseada em SEV AMD é inicializada, um evento do relatório de atestado de inicialização é gerado.

  • Alto desempenho: o SEV AMD oferece alto desempenho para tarefas computacionais exigentes. Ativar a VM confidencial tem pouco ou nenhum impacto na maioria das cargas de trabalho, com apenas uma degradação de 0 a 6% no desempenho.

Ativar VM confidencial

É possível ativar a Computação confidencial sempre que criar uma nova VM. Criar uma VM confidencial requer apenas uma caixa de seleção extra ou uma ou duas linhas de código a mais do que a criação de uma VM padrão. É possível continuar usando as outras ferramentas e fluxos de trabalho que você já conhece. Não é necessário alterar os aplicativos atuais para adicionar a Computação confidencial.

Outros serviços de computação confidencial

O Google Cloud também oferece os seguintes serviços de computação confidencial:

A seguir