Confidential VMs は、N2D、C2D、c3-standard-*(プレビュー)、または C3D(プレビュー)のマシンタイプを使用する Compute Engine VM であり、処理中に機密性の高いコードなどのデータをメモリで暗号化します。つまり、使用中データの暗号化を実行します。Confidential VMs を encryption-at-rest(保存データの暗号化)と encryption-in-transit(転送データの暗号化)と併用すると、データとアプリケーションを常に暗号化できます。
コンセプトの概要について詳しくは、Confidential VMs の概要をご覧ください。
Confidential VMs の使用を開始するには、クイックスタートを試すか、Confidential VMs インスタンスを作成するをご覧ください。
Confidential VMs は、次のいずれかの方法で管理できます。
組織のポリシーの制約を使用して、組織で作成されたインスタンスが Confidential VMs であることを確認できます。
Cloud Monitoring と Cloud Logging を使用して、Confidential VM インスタンスのモニタリングと検証を行うことができます。
共有 Virtual Private Cloud(VPC)ネットワーク、組織のポリシーの制約、ファイアウォール ルールを使用して、Confidential VM インスタンスが他の Confidential VM インスタンスのみと通信できるセキュリティ境界を設定できます。
Confidential VM でブロック ストレージのセキュリティを強化するには、Hyperdisk Balanced の情報保護モードを使用できます。Hyperdisk Balanced の情報保護モードで使用する鍵は、Cloud HSM を使用して保護することをおすすめします。Cloud HSM は Cloud Key Management Service をフロントエンドとして使用するため、Cloud KMS が提供するすべての機能を使用できます。
Hyperdisk Balanced の情報保護モードでは、ディスクデータのハードウェア ベースの暗号化を有効にして、セキュリティを強化します。情報保護モードの Hyperdisk ボリュームは、Cloud HSM と高信頼実行環境(TEE)を使用して、追加の暗号分離を提供します。TEE の詳細については、高信頼実行環境の説明をご覧ください。