バーチャルで行われた「Cloud Next ’20」で、米国時間7月14日にGoogle Cloudは新たなタイプの仮想マシン「Confidential VM」を発表した。この仮想マシンはGoogle(グーグル)のConfidential Computingという仕組みを利用しており、データがストレージやネット上にあるときだけでなく、メモリ上で実際に処理されているときでも暗号化されるようにする。
「これまでにもさまざまな隔離やサンドボックスの技術を弊社のクラウドインフラストラクチャの一環として採用し、マルチテナントのアーキテクチャのセキュリティを確保してきた。Confidential VMはそれを次のレベルに進めるもので、メモリを暗号化してクラウド上のユーザーのワークロードをさらに分離する。Confidential VMは、弊社のすべての顧客の機密データを保護するが、特に法や政府などの規制下にある業界で重宝されるだろう」と発表声明に書かれている。
Confidential VMはバックエンドで、AMDのSecure Encrypted Virtualization機能を利用する。それはEPYC CPUの第2世代で利用可能になった機能だ。これにより、データは使われているときにも暗号化されたままで、そのための暗号化キーはハードウェアで自動的に生成され、エクスポートできず、グーグルでもキーにはアクセスすることができない。
既存のVMをConfidential VMに移行したい開発者は、わずか数クリックで移行できる。グーグルによると、rootkitsやその他のエクスプロイトへの保護を提供しているShielded VMにConfidential VMを構築したという。
「暗号化された安全な仮想化能力を内蔵している第二世代のAMD EPYCプロセッサーは、ハードウェアベースの革新的なセキュリティ機能を提供し、仮想化環境における安全なデータを支える。Google Compute Engineの新しい機能であるN2DマシンタイプによるConfidential VMでは、グーグルと協力して顧客のデータの安全化と、ワークロードのパフォーマンス向上に努めた」とAMDのData Center Ecosystem担当本社副社長であるRaghu Nambiar(ラグー・ナンビア)氏は述べている。
当然ながら、最後のパフォーマンスの部分が特に重要だ。暗号化とその解読処理が増えればパフォーマンの多少のスペナルティは避けられない。グーグルによると、AMDと協力して新しいオープンソースのドライバーを作り、Confidential VMのパフォーマンスの測定値を通常のVMに近づけることができた(AMDリリース)。少なくともグーグル自身が開示しているベンチマークでは立ち上げ時間とメモリリード、およびスループットのパフォーマンスは通常のVMとConfidential VMでほぼ同じだ。
関連記事:Google Cloud’s new BigQuery Omni will let developers query data in GCP, AWS and Azure(未訳記事)
画像クレジット:Krisztian Bocsi/Bloomberg/Getty Images
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)