机密虚拟机和 Compute Engine

机密虚拟机是一种 N2D Compute Engine 虚拟机,在基于第二代 AMD Epyc 处理器(代码为“Rome”)的主机上运行。机密虚拟机使用 AMD 安全加密虚拟化 (SEV),内置了针对企业级高内存工作负载的性能和安全性优化,同时还提供内嵌内存加密功能,并且该功能不会对这些工作负载造成明显的性能损失。

您可以在使用 Google Cloud Console、Compute Engine API 或 gcloud 命令行工具在创建新虚拟机时选择机密虚拟机服务。

性能优势

AMD Rome 处理器系列针对计算密集型工作负载进行了优化,提供高内存容量、高吞吐量以及对并行工作负载的支持。此外,AMD SEV 还提供机密计算支持。

AMD SEV 可为要求最苛刻的计算任务提供高性能,同时确保使用由硬件生成的专用个别虚拟机实例密钥对所有内存进行加密。这些密钥是创建虚拟机期间由 AMD 平台安全处理器 (PSP) 生成,而且仅位于处理器中。Google 无法访问这些密钥。

安全性与隐私权功能

除了使用客户管理的加密密钥 (CMEK)客户提供的加密密钥 (CSEK) 来加密传输中的数据静态数据之外,机密虚拟机还通过加密使用中的数据,在端到端加密案例中增添了“第三大支柱”。借助机密虚拟机和 AMD SEV 提供的机密执行环境,Google Cloud 会确保在处理期间,对客户在内存中的敏感代码和其他数据进行加密。Google 无权访问加密密钥。此外,机密虚拟机还可以帮助缓解因依赖 Google 基础架构或 Google 内部人员有权访问已解密的客户数据而带来的相关风险。

主内存加密是使用片内 (on-die) 内存控制器内的专用硬件执行的。每个控制器都包含一个高性能高级加密标准 (AES) 引擎。AES 引擎会在数据被写入 DRAM 或在套接字之间共享时对数据进行加密,并在读取数据时对数据进行解密。

后续步骤