מכונה וירטואלית מסוג Confidential VM היא מכונה וירטואלית ב-Compute Engine שמשתמשת בסוג מכונה ספציפי ושומרת על הקוד הרגיש ועל נתונים אחרים מוצפנים בזיכרון במהלך העיבוד, כלומר היא מבצעת הצפנה בשימוש. יחד עם הצפנה במצב מנוחה והצפנה במעבר, מכונות וירטואליות חסויות יכולות לעזור לכם לשמור על הנתונים והאפליקציות שלכם מוצפנים בכל שלב.
סקירה כללית מפורטת יותר זמינה במאמר סקירה כללית על מכונות וירטואליות חסויות.
כדי להתחיל להשתמש ב-Confidential VM, כדאי לקרוא את המאמר יצירת מכונה וירטואלית מסוג Confidential VM.
ניתן לנהל את Confidential VMs בכמה מהדרכים הבאות:
אפשר להשתמש באילוצים על מדיניות הארגון כדי לוודא שהאינסטנסים שנוצרו בארגון הם Confidential VMs.
אתם יכולים להשתמש ב-Cloud Monitoring וב-Cloud Logging כדי לעקוב אחרי מכונות וירטואליות מסוג Confidential VM ולאמת אותן.
אתם יכולים להשתמש ברשתות ענן וירטואלי פרטי (VPC) משותפות, באילוצים של מדיניות הארגון ובכללי חומת אש כדי להגדיר גבולות גזרה של אבטחה שיבטיח שמופעי Confidential VM יוכלו ליצור אינטראקציה רק עם מופעי Confidential VM אחרים.
בסדרת המכונות A3, אפשר ליצור מופע של מכונה וירטואלית חסויה שמשתמשת ב-Intel TDX וכוללת GPU מצורף. מידע נוסף זמין במאמר בנושא תצורות נתמכות של מכונות וירטואליות חסויות.
כדי לשפר את האבטחה של אחסון בלוקים (block storage) באמצעות Confidential VM, אתם יכולים להשתמש במצב סודי ל-Hyperdisk Balanced. מצב סודי ב-Hyperdisk Balanced מוסיף עוד שכבת אבטחה על ידי הפעלת הצפנה מבוססת-חומרה של נתוני הדיסק. במצבים חסויים של נפחי Hyperdisk נעשה שימוש ב-Cloud HSM ובסביבות מחשוב אמינות (TEE) כדי לספק בידוד קריפטוגרפי נוסף. מידע נוסף על סביבות TEE זמין במאמר הסבר על סביבת מחשוב אמינה (TEE).