Google Cloud เปิดให้บริการเซิร์ฟเวอร์แบบใหม่ Confidential VM ที่เข้ารหัสข้อมูลตลอดเวลาแม้ขณะประมวลผลและข้อมูลอยู่ในหน่วยความจำ โดยใช้ฟีเจอร์ Secure Encrypted Virtualization (SEV) ของซีพียู AMD EPYC รุ่นที่สอง

SEV เป็นฟีเจอร์ที่ทำให้ VM แต่ละเครื่องสร้างกุญแจเข้ารหัสหน่วยความจำของตัวเองเพื่อให้มั่นใจว่าคนดูแลฮาร์ดแวร์อย่างกูเกิลเองหรือผู้ใช้อื่นที่แชร์เครื่องกันจะไม่สามารถอ่านหน่วยความจำข้ามเครื่องเสมือนได้

SEV เป็นฟีเจอร์ขยายมาจาก Secure Memory Encryption (SME) ที่ Cloudflare เคยทดสอบและระบุว่าประสิทธิภาพขณะเปิดใช้งานแทบไม่ลดลงเลย ในชุดเทคโนโลยีเดียวกันยังมีชุดคำสั่ง Secure Encrypted Virtualization-Encrypted State (SEV-ES) ที่เข้ารหัสรีจิสตรีในซีพียูขณะที่ไม่ได้ใช้งานทั้งหมดป้องกันข้อมูลรั่วไหลอีกชั้น แต่กูเกิลไม่ได้ระบุชัดว่าใช้งานด้วยหรือไม่

เครื่อง Confidential VM ทำงานเหมือนเครื่องทั่วไปแต่ต้องเลือกเปิดฟีเจอร์ตอนสร้างเครื่อง และตอนนี้มีอิมเมจลินุกซ์ที่รองรับได้แก่ Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS 81, และ RHEL 8.2 โดยกำลังทำงานร่วมกับดิสโทรอื่นๆ เช่น CentOS และ Debian ต่อไป

ที่มา - Google Cloud Blog