Ringkasan Confidential VM

Instance VM rahasia adalah jenis virtual machine Compute Engine. Fitur ini menggunakan enkripsi memori berbasis hardware untuk membantu memastikan data dan aplikasi Anda tidak dapat dibaca atau diubah saat digunakan.

Instance Confidential VM menawarkan manfaat berikut:

  • Isolasi: Kunci enkripsi dihasilkan oleh—dan hanya berada di—hardware khusus, yang tidak dapat diakses oleh hypervisor.

  • Pengesahan: Anda dapat memverifikasi identitas dan status VM, untuk memastikan bahwa komponen utama belum dimodifikasi.

Jenis isolasi dan pengesahan hardware ini dikenal sebagai Trusted Execution Environment (TEE).

Anda dapat mengaktifkan layanan Confidential VM setiap kali membuat instance VM baru.

Saat menyiapkan instance Confidential VM, jenis teknologi Confidential Computing yang digunakan didasarkan pada jenis mesin dan platform CPU yang Anda pilih. Saat memilih teknologi Confidential Computing, pastikan teknologi tersebut sesuai dengan kebutuhan performa dan biaya Anda.

AMD SEV

AMD Secure Encrypted Virtualization (SEV) di Confidential VM menawarkan enkripsi memori berbasis hardware melalui AMD Secure Processor, dan pengesahan waktu booting melalui vTPM Google.

AMD SEV menawarkan performa tinggi untuk tugas komputasi yang menuntut. Perbedaan performa antara SEV Confidential VM dan VM Compute Engine standar dapat berkisar dari tidak ada hingga minimal, bergantung pada beban kerja.

Tidak seperti teknologi Confidential Computing lainnya di Confidential VM, mesin AMD SEV yang menggunakan jenis mesin N2D mendukung migrasi langsung.

Baca laporan resmi AMD SEV.

AMD SEV-SNP

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) memperluas SEV, menambahkan keamanan berbasis hardware untuk membantu mencegah serangan berbasis hypervisor berbahaya seperti replay data dan pemetaan ulang memori. Laporan pengesahan dapat diminta kapan saja langsung dari AMD Secure Processor.

Karena AMD SEV-SNP menawarkan lebih banyak fitur keamanan, AMD SEV-SNP lebih banyak menggunakan resource daripada SEV. Secara khusus, bergantung pada beban kerja, Anda mungkin mengalami bandwidth jaringan yang lebih rendah dan latensi jaringan yang lebih tinggi.

Baca laporan resmi AMD SEV-SNP.

Intel TDX

Intel Trust Domain Extensions (TDX) adalah TEE berbasis hardware. TDX membuat trust domain (TD) terisolasi dalam VM, dan menggunakan ekstensi hardware untuk mengelola dan mengenkripsi memori.

Intel TDX meningkatkan pertahanan TD terhadap bentuk serangan terbatas yang menggunakan akses fisik ke memori platform, seperti analisis memori akses acak dinamis (DRAM) offline dan serangan aktif antarmuka DRAM, termasuk mengambil, mengubah, memindahkan, menyambungkan, dan membuat alias konten memori.

Baca laporan resmi Intel TDX.

Layanan Confidential VM

Selain Compute Engine, layanan Google Cloud berikut menggunakan VM Rahasia:

Langkah selanjutnya

Baca tentang konfigurasi yang didukung Confidential VM.