先日のブログ記事でGoogleは、新タイプの仮想マシンであるConfidential VMを発表した。データの保管中だけでなく、メモリにある間も暗号化されていることを保証する、いわゆるコンフィデンシャルコンピューティングに関わる企業での作業に使用するための仮想マシンだ。

最近に至るまで、Googleは、他の多くのクラウドプロバイダと同様、保管時と転送時の暗号化を提供してきた - これはつまり、データを処理可能にする前に復号化が必要であるということだ。Confidential VMの提供により、仮想マシン内部で処理される間も、データを暗号化することが可能になる。Confidential VMは2018年に導入されたGoogleのShielded VMを発展させたものだ。Sheild VMでは、新たな環境を生成しようとした時に引き起こされる、潜在的に脆弱な起動プロセスの大部分を排除することが可能だった。Confidential VMではさらに、暗号化キーをチップ上で生成および管理可能なAMDの第2世代Epycプロセッサを通じて、機密データの処理を行うことにより、セキュリティをさらに強固なものにしている。この方法により、処理のためにデータを復号化している間も、カスタマVMへのGoogle Cloud Servicesからのアクセスは不可能なままになる。

Public TrustサービスのプロダクトマネージャであるRyan Hurst氏は、Twitterのスレッドで次のように述べている。

GCPでConfidential VMが果たすであろう役割には、大きな期待をしています。実現可能になるユースケースがたくさんありそうですが、シンプルな例として、機密資料の変換とOCRを挙げたいと思います。これとe3eドキュメント暗号化を組み合わせれば、機密性の高い文書を、クラウドプロバイダによるドキュメントや関連データへの直接的アクセスを心配することなく、クラウド内で取り扱えるようになります。

さらにGoogleは、AMDとの密接な協力の下で、VMのメモリ暗号化がワークロードのパフォーマンスに影響しないことを保証している。ブログ記事の発表の中では、AMDでData Center Ecosystemを担当する本社副社長のRaghu Nambiar氏が、Confidential VMはさまざまなワークロードにおいて、標準的なN2D VMと同レベルのハイパフォーマンスであることを確認している、と述べている。

#google #仮想マシン #devops #デベロップメント #設計/アーキテクチャ #ニュース