Google 在最近宣布了機密VM，這是一種新型虛擬機，它利用公司圍繞機密計算的工作來確保數(shù)據(jù)不僅在靜態(tài)時被加密，而且在存儲時也被加密。

直到最近，Google像許多其他云提供商一樣，提供了靜態(tài)加密和傳輸加密，這意味著數(shù)據(jù)需要先解密才能進行處理。現(xiàn)在有了機密VM，客戶可以在虛擬機中處理數(shù)據(jù)時對數(shù)據(jù)進行加密。機密VM是Google 在2018年推出的Shielded VM產(chǎn)品的改進版本，該產(chǎn)品使用戶可以剝離大多數(shù)潛在脆弱的啟動過程，這些啟動過程在嘗試創(chuàng)建新環(huán)境時會觸發(fā)。此外，當(dāng)通過AMD的第二代Epyc處理器處理敏感數(shù)據(jù)時，機密VM進一步增強了安全性，該處理器生成并管理保留在芯片上的加密密鑰。這樣，在對數(shù)據(jù)進行解密以進行處理期間，客戶VM仍然無法訪問Google Cloud Services。

Google公共信托服務(wù)產(chǎn)品經(jīng)理Ryan Hurst在媒體上指出：我對在GCP中完成機密VM的工作感到非常興奮。它將啟用許多有趣的用例，我喜歡的一個簡單用例是機密文檔轉(zhuǎn)換和OCR。結(jié)合e2e文檔加密，將使敏感文檔可以在云中進行處理，而云提供商不必直接訪問文檔和相關(guān)數(shù)據(jù)。

此外，Google與AMD緊密合作，以確保VM的內(nèi)存加密不會干擾工作負載性能。在公告博客中，AMD數(shù)據(jù)中心生態(tài)系統(tǒng)公司副總裁Raghu Nambiar甚至表示，機密VM的性能在各種工作負載下顯示出與標(biāo)準(zhǔn)N2D VM類似的高性能水平。

除了基于硬件的嵌入式內(nèi)存加密之外，Google在Shielded VM之上構(gòu)建了Confidential VMs，以強化客戶的OS映像并驗證固件，內(nèi)核二進制文件和驅(qū)動程序的完整性。目前，Google提供了Ubuntu v18.04，Ubuntu 20.04，Container Optimized OS（COS v81）和RHEL 8.2等映像，并且正在與CentOS，Debian和其他發(fā)行商合作以提供其他機密OS映像。此外，已經(jīng)在Google Cloud Platform上的VM中運行工作負載的客戶將能夠使用復(fù)選框?qū)⑵滢D(zhuǎn)移到機密VM。

機密虛擬機是Google Cloud機密計算產(chǎn)品組合中的第一款產(chǎn)品。其他著名的云供應(yīng)商，例如微軟和亞馬遜，已經(jīng)開始了他們的機密計算方法。今年早些時候，Microsoft 發(fā)布了DCsv2系列VM，作為Azure機密計算產(chǎn)品的一部分，以實現(xiàn)全面可用性。而且，亞馬遜去年在re：Invent 2019期間推出了Nitro Enclaves，現(xiàn)在可以預(yù)覽。此外，Google和Microsoft都是機密計算聯(lián)盟的成員，該聯(lián)盟致力于與業(yè)界合作以提供更安全的計算基礎(chǔ)架構(gòu)。

星座研究公司分析師Holger Mueller：通過隱私工具保護智力資本對于知識經(jīng)濟中的企業(yè)至關(guān)重要。機密計算是這些策略之一。CxO始終需要權(quán)衡收益與成本因素。挑戰(zhàn)在于如何為集成企業(yè)無縫地運行混合安全基礎(chǔ)結(jié)構(gòu)。

機密虛擬機現(xiàn)已提供Beta版，其定價基于客戶為虛擬機選擇的計算機類型，永久磁盤和其他資源的使用情況。