Confidential VM は、特定のマシンタイプを使用する Compute Engine VM で、処理中に機密性の高いコードなどのデータをメモリで暗号化します。つまり、encryption-in-use(使用中の暗号化)を実行します。Confidential VMs を encryption-at-rest(保存データの暗号化)と encryption-in-transit(転送データの暗号化)と併用すると、データとアプリケーションを常に暗号化できます。
コンセプトの概要について詳しくは、Confidential VMs の概要をご覧ください。
Confidential VM の使用を開始するには、Confidential VMs インスタンスを作成するをご覧ください。
Confidential VMs は、次のいずれかの方法で管理できます。
組織のポリシーの制約を使用して、組織で作成されたインスタンスが Confidential VMs であることを確認できます。
Cloud Monitoring と Cloud Logging を使用して、Confidential VM インスタンスのモニタリングと検証を行うことができます。
共有 Virtual Private Cloud(VPC)ネットワーク、組織のポリシーの制約、ファイアウォール ルールを使用して、Confidential VM インスタンスが他の Confidential VM インスタンスのみと通信できるセキュリティ境界を設定できます。
A3 マシンシリーズでは、Intel TDX を使用し、GPU が接続された Confidential VM インスタンスを作成できます(プレビュー版)。詳細については、Confidential VM のサポートされている構成をご覧ください。
Confidential VM でブロック ストレージのセキュリティを強化するには、Hyperdisk Balanced の情報保護モードを使用できます。Hyperdisk Balanced の情報保護モードでは、ディスクデータのハードウェア ベースの暗号化を有効にして、セキュリティを強化します。情報保護モードの Hyperdisk ボリュームは、Cloud HSM と高信頼実行環境(TEE)を使用して、追加の暗号分離を提供します。TEE の詳細については、高信頼実行環境の説明をご覧ください。