Google 在最近宣布了機密VM，這是一種新型虛擬機，它利用公司圍繞機密計算的工作來確保數據不僅在靜態(tài)時被加密，而且在存儲時也被加密。

直到最近，Google像許多其他云提供商一樣，提供了靜態(tài)加密和傳輸加密，這意味著數據需要先解密才能進行處理。現在有了機密VM，客戶可以在虛擬機中處理數據時對數據進行加密。機密VM是Google 在2018年推出的Shielded VM產品的改進版本，該產品使用戶可以剝離大多數潛在脆弱的啟動過程，這些啟動過程在嘗試創(chuàng)建新環(huán)境時會觸發(fā)。此外，當通過AMD的第二代Epyc處理器處理敏感數據時，機密VM進一步增強了安全性，該處理器生成并管理保留在芯片上的加密密鑰。這樣，在對數據進行解密以進行處理期間，客戶VM仍然無法訪問Google Cloud Services。

Google公共信托服務產品經理Ryan Hurst在媒體上指出：我對在GCP中完成機密VM的工作感到非常興奮。它將啟用許多有趣的用例，我喜歡的一個簡單用例是機密文檔轉換和OCR。結合e2e文檔加密，將使敏感文檔可以在云中進行處理，而云提供商不必直接訪問文檔和相關數據。

此外，Google與AMD緊密合作，以確保VM的內存加密不會干擾工作負載性能。在公告博客中，AMD數據中心生態(tài)系統(tǒng)公司副總裁Raghu Nambiar甚至表示，機密VM的性能在各種工作負載下顯示出與標準N2D VM類似的高性能水平。

除了基于硬件的嵌入式內存加密之外，Google在Shielded VM之上構建了Confidential VMs，以強化客戶的OS映像并驗證固件，內核二進制文件和驅動程序的完整性。目前，Google提供了Ubuntu v18.04，Ubuntu 20.04，Container Optimized OS（COS v81）和RHEL 8.2等映像，并且正在與CentOS，Debian和其他發(fā)行商合作以提供其他機密OS映像。此外，已經在Google Cloud Platform上的VM中運行工作負載的客戶將能夠使用復選框將其轉移到機密VM。

機密虛擬機是Google Cloud機密計算產品組合中的第一款產品。其他著名的云供應商，例如微軟和亞馬遜，已經開始了他們的機密計算方法。今年早些時候，Microsoft 發(fā)布了DCsv2系列VM，作為Azure機密計算產品的一部分，以實現全面可用性。而且，亞馬遜去年在re：Invent 2019期間推出了Nitro Enclaves，現在可以預覽。此外，Google和Microsoft都是機密計算聯(lián)盟的成員，該聯(lián)盟致力于與業(yè)界合作以提供更安全的計算基礎架構。

星座研究公司分析師Holger Mueller：通過隱私工具保護智力資本對于知識經濟中的企業(yè)至關重要。機密計算是這些策略之一。CxO始終需要權衡收益與成本因素。挑戰(zhàn)在于如何為集成企業(yè)無縫地運行混合安全基礎結構。

機密虛擬機現已提供Beta版，其定價基于客戶為虛擬機選擇的計算機類型，永久磁盤和其他資源的使用情況。