机密虚拟机是一个 Compute Engine 虚拟机,它使用 N2D、C2D、c3-standard-*(预览版)或 C3D(预览版)机器类型,并在处理期间保持敏感代码和其他数据在内存中的加密状态,也就是说,它会执行使用中加密。连同静态加密和传输加密,机密虚拟机可以确保您的数据和应用始终保持加密状态。
如需详细了解概念性概览,请参阅机密虚拟机概览。
如需开始使用机密虚拟机,请尝试使用快速入门或参阅创建机密虚拟机实例。
您可以通过以下某种方式管理机密虚拟机:
您可以使用组织政策限制条件来确保组织中创建的实例为机密虚拟机。
您可以使用 Cloud Monitoring 和 Cloud Logging 监控和验证机密虚拟机实例。
您可以使用共享虚拟私有云 (VPC) 网络、组织政策限制条件和防火墙规则来设置安全边界,以确保机密虚拟机实例只能与其他机密虚拟机实例进行交互。
如需使用机密虚拟机增强块存储安全性,您可以使用 Hyperdisk Balanced 的机密模式。我们建议您使用 Cloud HSM 来保护您用于 Hyperdisk Balanced 的机密模式的密钥。由于 Cloud HSM 使用 Cloud Key Management Service 作为其前端,因此您可以使用 Cloud KMS 提供的所有功能。
Hyperdisk Balanced 的机密模式通过启用基于硬件的磁盘数据加密功能,另外增加一层安全保障。机密模式下的 HyperDisk 卷使用 Cloud HSM 和可信执行环境 (TEE) 提供额外的加密隔离。如需详细了解 TEE,请参阅可信执行环境说明。