Google Cloudがオンメモリ暗号化のConfidential VMをローンチ

バーチャルで行われた「Cloud Next ’20」で、米国時間7月14日にGoogle Cloudは新たなタイプの仮想マシン「Confidential VM」を発表した。この仮想マシンはGoogle(グーグル)のConfidential Computingという仕組みを利用しており、データがストレージやネット上にあるときだけでなく、メモリ上で実際に処理されているときでも暗号化されるようにする。

「これまでにもさまざまな隔離やサンドボックスの技術を弊社のクラウドインフラストラクチャの一環として採用し、マルチテナントのアーキテクチャのセキュリティを確保してきた。Confidential VMはそれを次のレベルに進めるもので、メモリを暗号化してクラウド上のユーザーのワークロードをさらに分離する。Confidential VMは、弊社のすべての顧客の機密データを保護するが、特に法や政府などの規制下にある業界で重宝されるだろう」と発表声明に書かれている。

Confidential VMはバックエンドで、AMDのSecure Encrypted Virtualization機能を利用する。それはEPYC CPUの第2世代で利用可能になった機能だ。これにより、データは使われているときにも暗号化されたままで、そのための暗号化キーはハードウェアで自動的に生成され、エクスポートできず、グーグルでもキーにはアクセスすることができない。

画像クレジット:Google

既存のVMをConfidential VMに移行したい開発者は、わずか数クリックで移行できる。グーグルによると、rootkitsやその他のエクスプロイトへの保護を提供しているShielded VMにConfidential VMを構築したという。

「暗号化された安全な仮想化能力を内蔵している第二世代のAMD EPYCプロセッサーは、ハードウェアベースの革新的なセキュリティ機能を提供し、仮想化環境における安全なデータを支える。Google Compute Engineの新しい機能であるN2DマシンタイプによるConfidential VMでは、グーグルと協力して顧客のデータの安全化と、ワークロードのパフォーマンス向上に努めた」とAMDのData Center Ecosystem担当本社副社長であるRaghu Nambiar(ラグー・ナンビア)氏は述べている。

当然ながら、最後のパフォーマンスの部分が特に重要だ。暗号化とその解読処理が増えればパフォーマンの多少のスペナルティは避けられない。グーグルによると、AMDと協力して新しいオープンソースのドライバーを作り、Confidential VMのパフォーマンスの測定値を通常のVMに近づけることができた(AMDリリース)。少なくともグーグル自身が開示しているベンチマークでは立ち上げ時間とメモリリード、およびスループットのパフォーマンスは通常のVMとConfidential VMでほぼ同じだ。

関連記事:Google Cloud’s new BigQuery Omni will let developers query data in GCP, AWS and Azure(未訳記事)

画像クレジット:Krisztian Bocsi/Bloomberg/Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。