Confidential VM インスタンスは、Compute Engine 仮想マシンの一種です。ハードウェア ベースのメモリ暗号化によって、使用中のデータとアプリケーションに対する読み取りや変更を防ぐことができます。
Confidential VMs インスタンスには、次のような利点があります。
分離: 暗号鍵は、ハイパーバイザからアクセスできない専用ハードウェアによって生成され、そのハードウェア内にのみ配置されます。
構成証明: VM の ID と状態を検証して、重要なコンポーネントが改ざんされていないことを確認できます。
このタイプのハードウェア分離と構成証明を、Trusted Execution Environment(TEE)といいます。
新しい VM インスタンスを作成するたびに、Confidential VMs サービスを有効にできます。
Confidential Computing テクノロジー
Confidential VM インスタンスを設定する場合、使用される Confidential Computing テクノロジーのタイプは、選択したマシンタイプと CPU プラットフォームに基づいています。Confidential Computing テクノロジーを選択する際は、パフォーマンスと費用のニーズに合っていることを確認してください。
AMD SEV
Confidential VM の AMD Secure Encrypted Virtualization(SEV)は、AMD Secure Processor によるハードウェアベースのメモリ暗号化と、Google の vTPM による起動時の構成証明を提供します。
AMD SEV は、要求の厳しいコンピューティング タスクにも高いパフォーマンスで対応できます。SEV Confidential VM と標準の Compute Engine VM のパフォーマンスの差は、ワークロードに応じてゼロから最小限の範囲になります。
Confidential VM の他の Confidential Computing テクノロジーと異なり、N2D マシンタイプを使用する AMD SEV マシンはライブ マイグレーションをサポートしています。
AMD SEV ホワイトペーパーを読む。
AMD SEV-SNP
AMD Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)は SEV を拡張し、ハードウェア ベースのセキュリティを追加して、データ リプレイやメモリ リマッピングなどの悪意のあるハイパーバイザ ベースの攻撃を防ぎます。構成証明レポートは、AMD セキュア プロセッサからいつでも直接リクエストできます。
AMD SEV-SNP はより多くのセキュリティ機能を提供するため、SEV よりもリソースを大量に消費します。特に、ワークロードによっては、ネットワーク帯域幅が低下し、ネットワーク レイテンシが増加する可能性があります。
AMD SEV-SNP ホワイトペーパーをご覧ください。
インテル TDX
Intel Trust Domain Extensions(TDX)はハードウェアベースの TEE です。TDX は VM 内に分離された信頼ドメイン(TD)を作成し、ハードウェア拡張機能を使用してメモリの管理と暗号化を行います。
インテル TDX は、プラットフォーム メモリへの物理的なアクセスを使用する限定的な形態の攻撃(オフラインのダイナミック ランダム アクセス メモリ(DRAM)分析や、メモリ コンテンツのキャプチャ、変更、再配置、スプライス、エイリアスなど、DRAM インターフェースのアクティブな攻撃)に対する TD の防御を強化します。
Confidential VMs サービス
Compute Engine に加えて、次の Google Cloud サービスは Confidential VM を使用します。
Confidential Google Kubernetes Engine ノードは、すべての GKE ノードに Confidential VMs の使用を強制します。
Confidential Space は Confidential VM を使用して、当事者がデータの機密性と所有権を保持しながら、相互に合意したワークロードと機密データを共有できるようにします。
Dataproc Confidential Compute には、Confidential VM を使用する Dataproc クラスタがあります。
Dataflow Confidential VM には、Dataflow ワーカーの Confidential VM インスタンスがあります。
次のステップ
Confidential VM のサポートされている構成を確認する。