컨피덴셜 VM 인스턴스는 Compute Engine 가상 머신 유형입니다. 하드웨어 기반 메모리 암호화를 사용하여 데이터와 애플리케이션이 사용 중일 때 읽거나 수정할 수 없도록 합니다.
컨피덴셜 VM 인스턴스는 다음과 같은 이점을 제공합니다.
격리: 암호화 키는 하이퍼바이저가 액세스할 수 없는 전용 하드웨어에서 생성되며 전용 하드웨어에만 있습니다.
증명: VM의 ID와 상태를 확인하여 주요 구성요소가 조작되지 않았는지 확인할 수 있습니다.
이러한 유형의 하드웨어 격리 및 증명을 신뢰할 수 있는 실행 환경 (TEE)이라고 합니다.
새 VM 인스턴스를 만들 때마다 컨피덴셜 VM 서비스를 사용 설정할 수 있습니다.
컨피덴셜 컴퓨팅 기술
컨피덴셜 VM 인스턴스를 설정할 때 사용되는 컨피덴셜 컴퓨팅 기술의 유형은 선택한 머신 유형 및 CPU 플랫폼에 따라 다릅니다. 컨피덴셜 컴퓨팅 기술을 선택할 때는 성능 및 비용 요구사항에 적합한지 확인합니다.
AMD SEV
컨피덴셜 VM의 AMD Secure Encrypted Virtualization (SEV)은 AMD Secure Processor를 통한 하드웨어 기반 메모리 암호화와 Google의 vTPM을 통한 부팅 시간 증명을 제공합니다.
AMD SEV는 까다로운 컴퓨팅 태스크를 위한 고성능을 제공합니다. SEV 컨피덴셜 VM과 표준 Compute Engine VM의 성능 차이는 워크로드에 따라 전혀 없거나 최소 수준일 수 있습니다.
컨피덴셜 VM의 다른 컨피덴셜 컴퓨팅 기술과 달리 N2D 머신 유형을 사용하는 AMD SEV 머신은 라이브 마이그레이션을 지원합니다.
AMD SEV 백서를 읽어보세요.
AMD SEV-SNP
AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)은 SEV를 확장하여 데이터 재생 및 메모리 재매핑과 같은 악의적인 하이퍼바이저 기반 공격을 방지하는 데 도움이 되는 하드웨어 기반 보안을 추가합니다. 증명 보고서는 언제든지 AMD 보안 프로세서에서 직접 요청할 수 있습니다.
AMD SEV-SNP는 더 많은 보안 기능을 제공하므로 SEV보다 리소스 집약적입니다. 특히 워크로드에 따라 네트워크 대역폭이 감소하고 네트워크 지연 시간이 늘어날 수 있습니다.
AMD SEV-SNP 백서를 읽어보세요.
Intel TDX
Intel Trust Domain Extensions (TDX)는 하드웨어 기반의 TEE입니다. TDX는 VM 내에 격리된 신뢰 영역 (TD)을 만들고 메모리를 관리하고 암호화하는 데 하드웨어 확장 프로그램을 사용합니다.
Intel TDX는 플랫폼 메모리에 대한 물리적 액세스를 사용하는 제한된 형태의 공격(예: 오프라인 동적 랜덤 액세스 메모리(DRAM) 분석, 메모리 콘텐츠 캡처, 수정, 재배치, 스플라이싱, 별칭 지정 등 DRAM 인터페이스의 활성 공격)에 대한 TD 방어를 강화합니다.
Intel TDX 백서를 읽어보세요.
컨피덴셜 VM 서비스
Compute Engine 외에도 다음 Google Cloud 서비스에서 기밀 VM을 사용합니다.
컨피덴셜 Google Kubernetes Engine 노드에서는 모든 GKE 노드에 대해 컨피덴셜 VM이 강제로 사용됩니다.
Confidential Space는 컨피덴셜 VM을 사용하여 당사자가 상호 협의된 워크로드에 따라 민감한 정보를 공유하면서 데이터의 기밀성과 소유권을 유지할 수 있도록 합니다.
Dataproc 컨피덴셜 컴퓨팅에는 컨피덴셜 VM이 사용되는 Dataproc 클러스터가 사용됩니다.
Dataflow 컨피덴셜 VM에는 Dataflow 작업자 컨피덴셜 VM 인스턴스가 있습니다.
다음 단계
컨피덴셜 VM 지원 구성에 대해 알아보세요.