Google Cloud propose aux entreprises un nouveau type de machines virtuelles dans lesquelles même les données en mémoire restent chiffrées lors de l’exécution assurant ainsi une meilleure isolation et confidentialité lors d’une exécution sur des serveurs partagés.

Tous les grands acteurs du cloud travaillent depuis quelques années à s’assurer qu’au-delà des données chiffrées lors de leur transfert et de leur stockage, la préservation de la confidentialité des informations soit aussi assurée lors de leur utilisation en mémoire. Pour cela, ils s’appuient notamment sur des technologies de « Trusted Execution Environments » intégrées au cœur des processeurs et des hyperviseurs modernes (telles que les extensions SGX d’Intel ou SEV d’AMD).

Chez Google Cloud, cet effort se traduit par une initiative « confidential computing » (informatique confidentielle) reposant sur un framework open-source maison dénommé « Asylo ».

Une isolation totale des VMs

Lors de sa conférence virtuelle Cloud Next 2020, l’éditeur a annoncé les premiers services concrets fruits de cette initiative. Les entreprises peuvent désormais bénéficier d’un nouveau type de machines virtuelles, les « Confidential VMs », à exécuter sur Google Cloud Engine.

« Nous utilisions déjà une variété de techniques d’isolation et de bacs à sable dans le cadre de notre infrastructure cloud pour aider à sécuriser notre architecture multi-tenant » expliquent les responsables du projet. « Les nouvelles ‘machines virtuelles confidentielles’ apportent un niveau de sécurité et de confidentialité encore supérieur en offrant un chiffrement de la mémoire afin que les entreprises puissent isoler davantage leurs charges de travail dans le cloud. Ces machines virtuelles confidentielles peuvent aider tous nos clients à protéger les données sensibles, mais nous pensons qu’elles seront particulièrement intéressantes pour ceux des secteurs réglementés ».

Pas de recompilation mais une exécution sur processeurs AMD uniquement

Techniquement, ces « Confidential VMs » sont pour le moment exclusivement proposés et disponibles sur des serveurs physiques équipés de processeurs AMD EPYC de seconde génération car elles tirent profit de leurs fonctionnalités « SEV » (Secure Encrypted Virtualization). Toutes les données sont chiffrées en mémoire et durant leur utilisation dans le pipeline d’exécution. Les clés de chiffrement sont générées par le hardware et inaccessibles même à Google puisqu’il n’existe aucun moyen (en théorie) de les exporter. À noter que ces VM confidentielles s’appuient également sur la technologie de « Shielded VM », introduites par Google en 2018 et qui assurent d’un démarrage sécurisé des machines virtuelles réduisant fortement les risques de rootkits et de ransomware.

Ces « Confidential VMs » sont avant tout une nouvelle offre de déploiement de workloads dans le cloud. Les développeurs n’ont pas à recompiler leurs applications pour bénéficier de ces nouvelles protections.