Una Confidential VM es una VM de Compute Engine que usa un tipo de máquina N2D, C2D, c3-standard-* (versión preliminar) o C3D (versión preliminar) y mantiene el código sensible y otros datos encriptados en la memoria durante el procesamiento, es decir, realiza una encriptación en uso. Junto con la encriptación en reposo y la encriptación en tránsito, las Confidential VMs pueden ayudar a mantener los datos y las aplicaciones encriptados en todo momento.
Para obtener una descripción general más detallada de los conceptos, consulta Descripción general de Confidential VM.
Para comenzar a usar Confidential VM, prueba la guía de inicio rápido o consulta Crea una instancia de Confidential VM.
Puedes administrar tus Confidential VMs de algunas de estas maneras:
Puedes usar restricciones de políticas de la organización para asegurarte de que las instancias que se creen en tu organización sean Confidential VMs.
Puedes usar Cloud Monitoring y Cloud Logging para supervisar y validar tus instancias de Confidential VM.
Puedes usar redes compartidas de nube privada virtual (VPC), restricciones de políticas de la organización y reglas de firewall para configurar un perímetro de seguridad que garantice que tus instancias de Confidential VM solo puedan interactuar con otras instancias de Confidential VM.
Para mejorar la seguridad del almacenamiento en bloque con Confidential VM, puedes usar el modo confidencial para Hyperdisk Balanced. Te recomendamos que uses Cloud HSM para proteger la clave que usas para el modo confidencial de Hyperdisk Balanced. Debido a que Cloud HSM usa Cloud Key Management Service como frontend, puedes usar todas las funciones que ofrece Cloud KMS.
El modo confidencial de Hyperdisk Balanced agrega otra capa de seguridad, ya que habilita la encriptación basada en hardware de los datos en disco. Los volúmenes de Hyperdisk en modo confidencial usan Cloud HSM y entornos de ejecución confiables (TEE) para proporcionar aislamiento criptográfico adicional. Para obtener más información sobre los TEE, consulta Explicación del entorno de ejecución confiable.