Las instancias de VM confidenciales son un tipo de máquina virtual de Compute Engine. Usan encriptación de memoria basada en hardware para garantizar que tus datos y aplicaciones no se puedan leer ni modificar mientras están en uso.
Las instancias de Confidential VM ofrecen los siguientes beneficios:
Aislamiento: Las claves de encriptación se generan en hardware dedicado y solo residen en él, al que el hipervisor no puede acceder.
Certificación: Puedes verificar la identidad y el estado de la VM para asegurarte de que no se hayan manipulado los componentes clave.
Este tipo de aislamiento y certificación de hardware se conoce como entorno de ejecución confiable (TEE).
Puedes habilitar el servicio de Confidential VM cada vez que crees una instancia de VM nueva.
Tecnologías de Confidential Computing
Cuando configuras una instancia de Confidential VM, el tipo de tecnología de computación confidencial que se usa se basa en el tipo de máquina y la plataforma de CPU que elijas. Cuando elijas una tecnología de procesamiento confidencial, asegúrate de que se adapte a tus necesidades de rendimiento y costo.
AMD SEV
La virtualización segura encriptada (SEV) de AMD en Confidential VM ofrece encriptación de memoria basada en hardware a través del procesador seguro de AMD y certificación durante el inicio a través del vTPM de Google.
La SEV de AMD ofrece un rendimiento elevado para las tareas de procesamiento más exigentes. La diferencia de rendimiento entre una VM confidencial de SEV y una VM estándar de Compute Engine puede variar de nada a mínima, según la carga de trabajo.
A diferencia de otras tecnologías de procesamiento confidencial en Confidential VM, las máquinas SEV de AMD que usan el tipo de máquina N2D admiten la migración en vivo.
Lee el informe de SEV de AMD.
AMD SEV-SNP
La AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) amplía la seguridad de la SEV, ya que agrega seguridad basada en hardware para ayudar a evitar ataques maliciosos basados en hipervisores, como la repetición de datos y la reasignación de memoria. Los informes de certificación se pueden solicitar en cualquier momento directamente desde el procesador seguro de AMD.
Debido a que AMD SEV-SNP ofrece más funciones de seguridad, requiere más recursos que SEV. En particular, según la carga de trabajo, es posible que experimentes un ancho de banda de red más bajo y una latencia de red más alta.
Lee el informe de AMD SEV-SNP.
Intel TDX
Las extensiones de dominio de confianza de Intel (TDX) son un TEE basado en hardware. TDX crea un dominio de confianza (TD) aislado dentro de una VM y usa extensiones de hardware para administrar y encriptar la memoria.
Intel TDX aumenta la defensa de la TD contra formas limitadas de ataques que usan acceso físico a la memoria de la plataforma, como el análisis de memoria de acceso aleatorio dinámico (DRAM) fuera de línea y los ataques activos de interfaces de DRAM, incluidos capturar, modificar, reubicar, unir y asignar alias al contenido de la memoria.
Lee el informe de Intel TDX.
Servicios de Confidential VM
Además de Compute Engine, los siguientes Google Cloud servicios usan VM confidenciales:
Confidential Google Kubernetes Engine Nodes aplican el uso de Confidential VM en todos tus nodos de GKE.
Confidential Space usa Confidential VM para permitir que las partes compartan datos sensibles con una carga de trabajo mutuamente acordada, mientras conservan la confidencialidad y la propiedad de esos datos.
Dataproc Confidential Compute cuenta con clústeres de Dataproc que usan Confidential VM.
Dataflow Confidential VM cuenta con instancias de Confidential VM de trabajador de Dataflow.
¿Qué sigue?
Lee sobre las configuraciones compatibles de Confidential VM.