Confidential VMs について

Confidential VMs は、N2D、C2D、c3-standard-*（プレビュー）、または C3D（プレビュー）のマシンタイプを使用する Compute Engine VM であり、処理中に機密性の高いコードなどのデータをメモリで暗号化します。つまり、使用中データの暗号化を実行します。Confidential VMs を encryption-at-rest（保存データの暗号化）と encryption-in-transit（転送データの暗号化）と併用すると、データとアプリケーションを常に暗号化できます。

コンセプトの概要について詳しくは、Confidential VMs の概要をご覧ください。

Confidential VMs の使用を開始するには、クイックスタートを試すか、Confidential VMs インスタンスを作成するをご覧ください。

Confidential VMs は、次のいずれかの方法で管理できます。

組織のポリシーの制約を使用して、組織で作成されたインスタンスが Confidential VMs であることを確認できます。
Cloud Monitoring と Cloud Logging を使用して、Confidential VM インスタンスのモニタリングと検証を行うことができます。
共有 Virtual Private Cloud（VPC）ネットワーク、組織のポリシーの制約、ファイアウォールルールを使用して、Confidential VM インスタンスが他の Confidential VM インスタンスのみと通信できるセキュリティ境界を設定できます。

Confidential VM でブロックストレージのセキュリティを強化するには、Hyperdisk Balanced の情報保護モードを使用できます。Hyperdisk Balanced の情報保護モードで使用する鍵は、Cloud HSM を使用して保護することをおすすめします。Cloud HSM は Cloud Key Management Service をフロントエンドとして使用するため、Cloud KMS が提供するすべての機能を使用できます。

Hyperdisk Balanced の情報保護モードでは、ディスクデータのハードウェアベースの暗号化を有効にして、セキュリティを強化します。情報保護モードの Hyperdisk ボリュームは、Cloud HSM と高信頼実行環境（TEE）を使用して、追加の暗号分離を提供します。TEE の詳細については、高信頼実行環境の説明をご覧ください。