Instance Confidential VM adalah jenis virtual machine Compute Engine. Mereka menggunakan enkripsi memori berbasis hardware untuk membantu memastikan bahwa data dan aplikasi Anda tidak dapat dibaca atau diubah saat digunakan.
Instance Confidential VM menawarkan manfaat berikut:
Isolasi: Kunci enkripsi dibuat oleh—dan hanya berada di dalam—hardware khusus, yang tidak dapat diakses oleh hypervisor.
Pengesahan: Anda dapat memverifikasi identitas dan status VM, untuk memastikan bahwa komponen utama tidak dirusak.
Jenis isolasi dan pengesahan hardware ini dikenal sebagai Trusted Execution Environment (TEE).
Anda dapat mengaktifkan layanan Confidential VM setiap kali Anda membuat instance VM baru.
Teknologi Confidential Computing
Saat menyiapkan instance Confidential VM, jenis teknologi Confidential Computing yang digunakan didasarkan pada jenis mesin dan platform CPU yang Anda pilih. Saat memilih teknologi Confidential Computing, pastikan teknologi tersebut sesuai dengan kebutuhan biaya dan performa Anda.
AMD SEV
AMD Secure Encrypted Virtualization (SEV) di Confidential VM menawarkan enkripsi memori berbasis hardware melalui AMD Secure Processor, dan pengesahan waktu booting melalui vTPM Google.
AMD SEV menawarkan performa tinggi untuk tugas komputasi yang berat. Perbedaan performa antara Confidential VM SEV dan VM Compute Engine standar dapat berkisar dari tidak ada hingga minimal, bergantung pada beban kerja.
Tidak seperti teknologi Confidential Computing lainnya di Confidential VM, mesin AMD SEV yang menggunakan jenis mesin N2D dan C3D mendukung migrasi langsung.
Baca laporan resmi AMD SEV.
AMD SEV-SNP
AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) memperluas SEV, dengan menambahkan keamanan berbasis hardware untuk membantu mencegah serangan berbasis hypervisor berbahaya seperti pemutaran ulang data dan pemetaan ulang memori. Laporan pengesahan dapat diminta kapan saja langsung dari AMD Secure Processor.
Baca laporan resmi AMD SEV-SNP.
Intel TDX
Intel Trust Domain Extensions (TDX) membuat domain tepercaya (TD) yang terisolasi dalam VM, dan menggunakan ekstensi hardware untuk mengelola dan mengenkripsi memori.
Intel TDX meningkatkan pertahanan TD terhadap serangan terbatas yang menggunakan akses fisik ke memori platform, seperti analisis memori akses acak dinamis (DRAM) offline dan serangan aktif pada antarmuka DRAM. Serangan ini mencakup pengambilan, modifikasi, pemindahan, penyambungan, dan pembuatan alias konten memori.
Baca laporan resmi Intel TDX.
NVIDIA Confidential Computing
Instance Confidential VM dengan NVIDIA Confidential Computing dapat memperluas TEE untuk menyertakan GPU. Hal ini memungkinkan komputasi rahasia untuk penggunaan yang memerlukan workload yang dipercepat, seperti kecerdasan buatan (AI) dan machine learning (ML).
Anda dapat men-deploy instance Confidential VM dengan NVIDIA Confidential Computing sebagai Spot VM untuk penggunaan GPU tunggal, satu tenant; atau VM dalam grup instance terkelola (MIG) untuk penggunaan GPU tunggal, multi-tenant.
Baca dokumen teknis Arsitektur GPU NVIDIA H100 Tensor Core.
Layanan Confidential VM
Selain Compute Engine, layanan berikut menggunakan Confidential VM: Google Cloud
Confidential Google Kubernetes Engine Nodes mewajibkan penggunaan Confidential VM untuk semua node GKE Anda.
Confidential Space menggunakan Confidential VM untuk memungkinkan pihak berbagi data sensitif dengan workload yang disepakati bersama, sekaligus mempertahankan kerahasiaan dan kepemilikan data tersebut.
Fitur Managed Service for Apache Spark Confidential Compute menampilkan cluster Managed Service for Apache Spark yang menggunakan Confidential VM.
Confidential VM Dataflow menampilkan instance Confidential VM pekerja Dataflow.
Langkah berikutnya
Baca konfigurasi yang didukung Confidential VM.