Confidential Computing verschlüsselt Daten während der Verarbeitung im RAM. Hardware-basierte Sicherheit schützt sensible Workloads selbst vor physischem Zugriff auf die Server.
Was ist Confidential Computing?
Traditionelle Verschlüsselung schützt Daten “at rest” (auf Festplatten) und “in transit” (bei der Übertragung). Confidential Computing schließt die letzte Lücke: Daten “in use” während der Verarbeitung im RAM.
Confidential VMs nutzen AMD SEV (Secure Encrypted Virtualization) zur Hardware-Verschlüsselung des gesamten VM-Speichers. Die Schlüssel werden in der CPU generiert und sind für Google nicht zugänglich.
Wie funktioniert es?
Traditionelle VM:
┌─────────────────────────────────────┐
│ RAM (unverschlüsselt) │ ← Lesbar bei physischem Zugriff
├─────────────────────────────────────┤
│ Persistent Disk (verschlüsselt) │ ✓ Geschützt
└─────────────────────────────────────┘
Confidential VM:
┌─────────────────────────────────────┐
│ RAM (AES-128 verschlüsselt) │ ✓ Geschützt mit AMD SEV
├─────────────────────────────────────┤
│ Persistent Disk (verschlüsselt) │ ✓ Geschützt
└─────────────────────────────────────┘Kernfunktionen
- Hardware-Verschlüsselung: AMD SEV verschlüsselt RAM in Echtzeit
- Zero-Trust: Selbst Google-Mitarbeiter können Daten nicht lesen
- Attestation: Kryptografischer Nachweis der Sicherheitskonfiguration
- Minimaler Overhead: 5-10% Performance-Einbuße
Typische Anwendungsfälle
Verarbeitung sensibler Daten
Gesundheitsdaten, Finanztransaktionen oder personenbezogene Daten mit höchstem Schutzbedarf. Selbst bei einem theoretischen physischen Einbruch in das Rechenzentrum bleiben Daten verschlüsselt.
Multi-Party Computation
Mehrere Unternehmen wollen gemeinsam auf Daten rechnen (z.B. Fraud Detection), ohne die Rohdaten zu teilen. Confidential VMs ermöglichen Berechnungen auf verschlüsselten Daten.
Regulated Workloads
Für Branchen mit strengen Datenschutzanforderungen (Finanzdienstleister, Gesundheitswesen). Confidential Computing erfüllt Anforderungen, die über Standard-Verschlüsselung hinausgehen.
Confidential VMs vs. Shielded VMs
| Feature | Shielded VMs | Confidential VMs |
|---|---|---|
| Secure Boot | ✓ | ✓ |
| vTPM | ✓ | ✓ |
| Integrity Monitoring | ✓ | ✓ |
| RAM-Verschlüsselung | ✗ | ✓ |
| Performance-Overhead | Keiner | 5-10% |
| Kosten | Standard | +10% |
| Maschinentypen | Alle | N2D |
Vorteile
- Höchste Sicherheit: Schutz vor physischem Zugriff und Insider-Threats
- Keine Code-Änderungen: Bestehende Anwendungen laufen unverändert
- Hardware-basiert: AMD SEV garantiert Performance und Sicherheit
- Attestation: Kryptografischer Nachweis der Sicherheit
Integration mit innFactory
Als Google Cloud Partner unterstützt innFactory Sie bei Confidential Computing: Sicherheitsarchitektur, Migration sensibler Workloads und Compliance-Beratung.
Typische Anwendungsfälle
Technische Spezifikationen
Häufig gestellte Fragen
Was ist Confidential Computing?
Confidential Computing verschlüsselt Daten während der Verarbeitung im RAM, nicht nur at rest und in transit. Die Verschlüsselung erfolgt auf Hardware-Ebene mit AMD SEV. Selbst mit physischem Zugriff auf den Server können die Daten nicht gelesen werden.
Was ist der Unterschied zwischen Confidential VMs und Shielded VMs?
Shielded VMs schützen vor Rootkits und Bootkits durch Secure Boot und Integrity Monitoring. Confidential VMs verschlüsseln zusätzlich den gesamten RAM während der Verarbeitung. Confidential VMs bieten stärkeren Schutz, haben aber Performance-Overhead.
Welchen Performance-Overhead haben Confidential VMs?
Der Overhead liegt typischerweise bei 5-10% für die meisten Workloads. Die Verschlüsselung erfolgt in Hardware (AMD SEV), daher ist der Overhead niedriger als bei Software-basierter Verschlüsselung.
Wann sollte ich Confidential VMs nutzen?
Confidential VMs sind ideal für hochsensible Daten wie Gesundheitsdaten, Finanztransaktionen oder personenbezogene Daten. Auch für Multi-Party Computation, bei der mehrere Parteien auf geteilten Daten rechnen wollen, ohne sie offenzulegen.
Was kostet Confidential Computing?
Confidential VMs basieren auf N2D-Instanzen und kosten etwa 10% mehr als Standard N2D. Es fallen keine zusätzlichen Lizenzkosten an. Die Technologie ist in die Standard-VM-Preise integriert.
