Google推出Confidential VMs，提升数据安全处理能力

Google最近宣布推出Confidential VMs（机密虚拟机），这是一种新型虚拟机，利用Google在机密计算（Confidential Computing）领域的技术，确保数据不仅在存储时加密，还在内存中处理时保持加密状态。

主要观点

1. 数据加密新标准：Confidential VMs允许数据在虚拟机内处理时保持加密，而传统云服务通常只提供静态数据（at rest）和传输数据（in transit）的加密。
2. 基于AMD硬件的安全增强：Confidential VMs使用AMD第二代Epyc处理器，这些处理器生成并管理加密密钥，确保密钥始终留在芯片上，Google云服务无法访问解密后的数据。
3. 与Shielded VMs的结合：Confidential VMs基于Google 2018年推出的Shielded VMs，进一步强化了操作系统镜像的安全性，并验证固件、内核二进制文件和驱动程序的完整性。

关键信息

• 性能优化：Google与AMD合作，确保内存加密不会影响工作负载性能。AMD副总裁Raghu Nambiar表示，Confidential VMs在各种工作负载下表现出与标准N2D VMs相似的高性能。
• 支持的操作系统：目前支持的操作系统包括Ubuntu 18.04、Ubuntu 20.04、Container Optimized OS (COS v81)和RHEL 8.2，并正在与CentOS、Debian等发行版合作，提供更多机密操作系统镜像。
• 迁移便利性：现有Google Cloud Platform上的工作负载可以通过勾选复选框轻松迁移到Confidential VMs。

重要细节

• 应用场景：Google产品经理Ryan Hurst提到，Confidential VMs支持多种有趣的应用场景，例如机密文档转换和OCR（光学字符识别），结合端到端文档加密，可以在云中处理敏感文档，而无需云提供商直接访问文档及相关数据。
• 行业背景：Confidential VMs是Google Cloud机密计算产品组合中的首个产品。其他主要云服务提供商如微软和亚马逊也已推出各自的机密计算解决方案。微软的DCsv2系列虚拟机和亚马逊的Nitro Enclaves都是类似的产品。
• 行业合作：Google和微软都是机密计算联盟（Confidential Computing Consortium）的成员，致力于与行业合作，提供更安全的计算基础设施。

定价与可用性

• 定价模式：Confidential VMs目前处于测试阶段，定价基于客户选择的机器类型、持久磁盘和其他资源的使用情况。更多定价细节可在Google Cloud的定价页面查看。

分析师观点

Constellation Research Inc.的分析师Holger Mueller指出，在知识经济中，通过隐私工具保护知识产权对企业至关重要。机密计算是其中一种策略，企业高管需要在效益与成本之间权衡，并确保在混合安全基础设施中无缝运营。

总结

Google的Confidential VMs通过硬件级别的内存加密和与AMD的合作，为云中数据处理提供了更高的安全性，同时保持了高性能。这一技术不仅适用于敏感数据处理，还为企业在云中处理机密信息提供了新的可能性。