Google Cloud lanza máquinas virtuales confidenciales

GoogleCloud anunció este lunes máquinas virtuales confidenciales. Se trata de un nuevo tipo de máquina virtual que hace uso del trabajo de la compañía en torno a la informática confidencial. ¿Para qué? Para garantizar que los datos no solo se cifren en reposo sino también mientras están en la memoria.

«Ya empleamos una variedad de técnicas de aislamiento y sandboxing como parte de nuestra infraestructura en la nube para ayudar a que nuestra arquitectura multiinquilino sea segura», señaló la compañía durante el evento virtual Cloud Next ’20.

«Las máquinas virtuales confidenciales llevan esto al siguiente nivel al ofrecer cifrado de memoria para que pueda aislar aún más sus cargas de trabajo en la nube. Las máquinas virtuales confidenciales pueden ayudar a todos nuestros clientes a proteger datos confidenciales, pero creemos que será especialmente interesante para aquellos en industrias reguladas».

Los datos permanecen cifrados cuando se usen las máquinas

En el backend, las máquinas virtuales confidenciales utilizan la función de virtualización cifrada segura de AMD, disponible en sus CPU EPYC de segunda generación. Con eso, los datos permanecerán cifrados cuando se usen. Mientras tanto, las claves de cifrado para que esto suceda se generan automáticamente en el hardware y no se pueden exportar, y con eso, incluso Google tampoco tiene acceso a las claves.

Crédito de imagen: Google

Los desarrolladores que desean cambiar sus máquinas virtuales existentes a una VM confidencial pueden hacerlo con solo unos pocos clics. Google señala que construyó máquinas virtuales confidenciales sobre sus máquinas virtuales protegidas, que ya brindan protección contra rootkits y otras vulnerabilidades.

«Con la virtualización encriptada segura incorporada, los procesadores EPDC AMD de 2ª generación brindan una característica de seguridad innovadora basada en hardware. Estos ayudan a proteger los datos en un entorno virtualizado», dijo Raghu Nambiar, vicepresidente corporativo, Data Center Ecosystem, AMD.

«Para las nuevas máquinas virtuales de Google Compute Engine en la serie N2D, trabajamos con Google para ayudar a los clientes a proteger sus datos. Igualmente trabajamos para lograr el rendimiento de sus cargas de trabajo».

Esa última parte es obviamente importante, dado que los pasos adicionales de cifrado y descifrado conllevan al menos una penalización de rendimiento menor.

Google dice que trabajó con AMD y desarrolló nuevos controladores de código abierto para garantizar que «las métricas de rendimiento de las máquinas virtuales estén cerca de las de las máquinas virtuales no confidenciales».

Al menos de acuerdo con los puntos de referencia que Google ha revelado hasta ahora, tanto los tiempos de inicio como el rendimiento de lectura y rendimiento de la memoria son prácticamente los mismos para las máquinas virtuales normales y las máquinas virtuales confidenciales.

:)