Google 在最近宣布了機(jī)密VM，這是一種新型虛擬機(jī)，它利用公司圍繞機(jī)密計(jì)算的工作來確保數(shù)據(jù)不僅在靜態(tài)時(shí)被加密，而且在存儲(chǔ)時(shí)也被加密。

直到最近，Google像許多其他云提供商一樣，提供了靜態(tài)加密和傳輸加密，這意味著數(shù)據(jù)需要先解密才能進(jìn)行處理。現(xiàn)在有了機(jī)密VM，客戶可以在虛擬機(jī)中處理數(shù)據(jù)時(shí)對數(shù)據(jù)進(jìn)行加密。機(jī)密VM是Google 在2018年推出的Shielded VM產(chǎn)品的改進(jìn)版本，該產(chǎn)品使用戶可以剝離大多數(shù)潛在脆弱的啟動(dòng)過程，這些啟動(dòng)過程在嘗試創(chuàng)建新環(huán)境時(shí)會(huì)觸發(fā)。此外，當(dāng)通過AMD的第二代Epyc處理器處理敏感數(shù)據(jù)時(shí)，機(jī)密VM進(jìn)一步增強(qiáng)了安全性，該處理器生成并管理保留在芯片上的加密密鑰。這樣，在對數(shù)據(jù)進(jìn)行解密以進(jìn)行處理期間，客戶VM仍然無法訪問Google Cloud Services。

Google公共信托服務(wù)產(chǎn)品經(jīng)理Ryan Hurst在媒體上指出：我對在GCP中完成機(jī)密VM的工作感到非常興奮。它將啟用許多有趣的用例，我喜歡的一個(gè)簡單用例是機(jī)密文檔轉(zhuǎn)換和OCR。結(jié)合e2e文檔加密，將使敏感文檔可以在云中進(jìn)行處理，而云提供商不必直接訪問文檔和相關(guān)數(shù)據(jù)。

此外，Google與AMD緊密合作，以確保VM的內(nèi)存加密不會(huì)干擾工作負(fù)載性能。在公告博客中，AMD數(shù)據(jù)中心生態(tài)系統(tǒng)公司副總裁Raghu Nambiar甚至表示，機(jī)密VM的性能在各種工作負(fù)載下顯示出與標(biāo)準(zhǔn)N2D VM類似的高性能水平。

除了基于硬件的嵌入式內(nèi)存加密之外，Google在Shielded VM之上構(gòu)建了Confidential VMs，以強(qiáng)化客戶的OS映像并驗(yàn)證固件，內(nèi)核二進(jìn)制文件和驅(qū)動(dòng)程序的完整性。目前，Google提供了Ubuntu v18.04，Ubuntu 20.04，Container Optimized OS（COS v81）和RHEL 8.2等映像，并且正在與CentOS，Debian和其他發(fā)行商合作以提供其他機(jī)密OS映像。此外，已經(jīng)在Google Cloud Platform上的VM中運(yùn)行工作負(fù)載的客戶將能夠使用復(fù)選框?qū)⑵滢D(zhuǎn)移到機(jī)密VM。

機(jī)密虛擬機(jī)是Google Cloud機(jī)密計(jì)算產(chǎn)品組合中的第一款產(chǎn)品。其他著名的云供應(yīng)商，例如微軟和亞馬遜，已經(jīng)開始了他們的機(jī)密計(jì)算方法。今年早些時(shí)候，Microsoft 發(fā)布了DCsv2系列VM，作為Azure機(jī)密計(jì)算產(chǎn)品的一部分，以實(shí)現(xiàn)全面可用性。而且，亞馬遜去年在re：Invent 2019期間推出了Nitro Enclaves，現(xiàn)在可以預(yù)覽。此外，Google和Microsoft都是機(jī)密計(jì)算聯(lián)盟的成員，該聯(lián)盟致力于與業(yè)界合作以提供更安全的計(jì)算基礎(chǔ)架構(gòu)。

星座研究公司分析師Holger Mueller：通過隱私工具保護(hù)智力資本對于知識(shí)經(jīng)濟(jì)中的企業(yè)至關(guān)重要。機(jī)密計(jì)算是這些策略之一。CxO始終需要權(quán)衡收益與成本因素。挑戰(zhàn)在于如何為集成企業(yè)無縫地運(yùn)行混合安全基礎(chǔ)結(jié)構(gòu)。

機(jī)密虛擬機(jī)現(xiàn)已提供Beta版，其定價(jià)基于客戶為虛擬機(jī)選擇的計(jì)算機(jī)類型，永久磁盤和其他資源的使用情況。