Une Confidential VM est une VM Compute Engine qui utilise un type de machine N2D, C2D, c3-standard-* (bêta) ou C3D (bêta) et conserve votre code sensible et d'autres données chiffrées en mémoire pendant le traitement. En d'autres termes, elle exécute le chiffrement en cours d'utilisation. Avec le chiffrement au repos et le chiffrement en transit, les Confidential VMs vous permettent de chiffrer en permanence vos données et vos applications.
Pour obtenir une présentation du concept plus détaillée, consultez la page Présentation de Confidential VM.
Pour commencer à utiliser une Confidential VM, consultez le guide de démarrage rapide ou la section Créer une instance de Confidential VM.
Vous pouvez gérer vos Confidential VMs de différentes manières :
Vous pouvez utiliser des contraintes de règle d'administration pour vous assurer que les instances créées dans votre organisation sont des Confidential VMs.
Vous pouvez utiliser Cloud Monitoring et Cloud Logging pour surveiller et valider vos instances de Confidential VMs.
Vous pouvez utiliser des réseaux VPC (Virtual Private Cloud), des contraintes de règles d'administration et des règles de pare-feu partagés pour configurer un périmètre de sécurité qui garantit que vos instances de Confidential VM ne peuvent interagir qu'avec d'autres instances de Confidential VM.
Pour renforcer la sécurité du stockage de blocs avec Confidential VM, vous pouvez utiliser le mode confidentiel pour Hyperdisk Balanced. Nous vous recommandons d'utiliser Cloud HSM pour protéger la clé que vous utilisez pour le mode Confidentiel pour Hyperdisk équilibré. Dans la mesure où Cloud HSM utilise Cloud Key Management Service comme interface, vous pouvez utiliser toutes les fonctionnalités offertes par Cloud KMS.
Le mode confidentiel pour Hyperdisk Balanced ajoute une couche de sécurité supplémentaire en activant le chiffrement matériel des données de disque. Les volumes Hyperdisk en mode confidentiel utilisent Cloud HSM et des environnements d'exécution sécurisés (TEE) pour fournir une isolation cryptographique supplémentaire. Pour en savoir plus sur les TEE, consultez Présentation des environnements d'exécution de confiance.