Computazione riservata

Il computing riservato crittografa e isola i dati in uso (dati elaborati attivamente in memoria) e le applicazioni che elaborano tali dati. Le istanze riservate sono virtual machine (VM) di computazione o istanze Bare Metal in cui i dati e l'esecuzione delle applicazioni vengono protetti durante l'esecuzione del carico di lavoro, impedendo così l'accesso non autorizzato o la modifica dei dati in memoria.

Su OCI, le VM riservate utilizzano AMD Secure Encrypted Virtualization (famiglia SEV). Le chiavi di cifratura vengono generate alla creazione della VM e si trovano nel processore sicuro AMD; queste chiavi non sono accessibili alle applicazioni, al guest, all'hypervisor o a OCI.

Concetti di base

Quando si utilizzano istanze di computazione riservate, considerare i concetti di base riportati di seguito.

Ambiente di esecuzione affidabile (TEE, Trusted Execution Environment)

Un ambiente di esecuzione affidabile (TEE, Trusted Execution Environment) è un limite di esecuzione isolato che consente di proteggere codice e dati durante l'elaborazione. Nella computazione riservata OCI, gli TEE vengono raggiunti utilizzando la cifratura della memoria supportata dall'hardware e i meccanismi di isolamento.

VM riservate rispetto a Bare Metal riservato (chiarimento)

Le VM riservate forniscono isolamento e cifratura con ambito VM per ogni VM, mentre Confidential Bare Metal fornisce la cifratura della memoria host come base. La sola riservatezza Bare Metal non fornisce automaticamente un TEE con ambito VM o un flusso di attestazione remota rivolto ai tenant per le VM guest.

Computazione riservata con ambito VM (VM riservate)

La computazione riservata con ambito VM fornisce isolamento per VM e crittografia della memoria utilizzando la tecnologia AMD SEV.

Le forme AMD più recenti supportano SEV-SNP, che aggiunge una maggiore protezione dell'integrità della memoria e consente l'attestazione supportata dall'hardware.

Computazione riservata Bare Metal (Confidential Bare Metal)

Quando un cliente abilita la computazione riservata su Bare Metal, OCI utilizza AMD Transparent Secure Memory Encryption (TSME) per cifrare la memoria host.

Con la piattaforma avviata in modalità riservata ( BIOS/firmware abilitato per uso riservato), i clienti possono creare un TEE con ambito VM oltre a Bare Metal con capacità riservata utilizzando le funzionalità firmware supportate:

  • E3/E4: SEV con ambito VM (nessun SEV-SNP)
  • E5/E6: il supporto SEV-SNP con ambito VM (BIOS/firmware per l'abilitazione SEV-SNP è applicabile alle forme Bare Metal E5 ed E6)

Modello BYAS (Bring Your Own Attestation Service)

L'attestazione fornisce la prova crittografica che un carico di lavoro è in esecuzione nell'ambiente riservato previsto prima di rilasciare segreti (ad esempio chiavi, token o set di dati).

OCI supporta il Bring Your Own Attestation Service (BYAS) per le forme E5/E6 SEV-SNP, in cui i clienti implementano e gestiscono il proprio servizio di attestazione utilizzando la guida OCI. BYAS attesta l'ambiente VM riservato (stato TEE con ambito VM), non solo l'host Bare Metal, e viene in genere utilizzato per eseguire il controllo della release segreta in base ai risultati della verifica. BYAS non è supportato per le forme E3/E4 precedenti. Vedere Attestazione remota per il calcolo riservato.

Matrice di supporto (forme, SEV/SEV-SNP, OS, aree)

La tabella seguente fornisce dettagli sulle forme supportate e sulle tecnologie correlate.

Nota

"tecnologia VM" indica la capacità riservata con ambito VM (SEV e SEV-SNP).
FORMA/E DISTRIBUZIONE TECNOLOGIA VM BYAS OS SUPPORTATO AREE
VM.Standard.E3. Flex, VM.Standard.E4. Flexfield VM SEV (senza SNP) N Oracle Linux 7+, Ubuntu 20+ Australia orientale (Sydney), Canada sud-orientale (Toronto), Germania centrale (Francoforte), India meridionale (Hyderabad), India occidentale (Mumbai), Regno Unito meridionale (Londra), Regno Unito occidentale (Newport), Stati Uniti orientali (Ashburn), Stati Uniti occidentali (Phoenix)
BM.Standard.E3.128, BM.Standard.E4.128, BM.DenseIO.E4.128 BM Supporta SEV con ambito VM creato dal cliente N Oracle Linux 7+, Ubuntu 20+ Tutte le aree pubbliche OC1
VM.Standard.E5.Flex VM PUNTO DI VISTA Oracle Linux 9 (UEK8), Oracle Linux 10 (UEK8), Ubuntu 24.04 Tutte le aree pubbliche OC1 ad eccezione di ZRH/SIN/ORD
VM.Standard.E6.Flex VM PUNTO DI VISTA Oracle Linux 9 (UEK8), Oracle Linux 10 (UEK8), Ubuntu 24.04 Tutte le aree pubbliche OC1
BM.Standard.E5.192, BM.DenseIO.E5.128, BM.Standard.E6.256 BM Supporta SEV-SNP con ambito VM creato dal cliente Oracle Linux 9 (UEK8), Oracle Linux 10 (UEK8), Ubuntu 24.04 Tutte le aree pubbliche OC1

Per abilitare il Confidential Computing on VM Shapes con Oracle Linux, consultare Confidential Computing For Oracle Linux.

Prezzi e disponibilità

  • Nessun costo aggiuntivo per abilitare il calcolo riservato.
  • La disponibilità varia in base alla forma (vedi tabella).

Supporto e limitazioni

Di seguito viene fornito un elenco di dettagli relativi al supporto e di limitazioni relative alle attività informatiche riservate.

  • Il calcolo riservato deve essere abilitato all'avvio e non può essere attivato/disattivato dopo la creazione dell'istanza.
  • Le VM Confidential Computing E5 ed E6 possono essere avviate su host virtual machine dedicati.
  • Dopo aver abilitato la computazione riservata su un'istanza, è possibile modificare solo il nome dell'istanza. Impossibile modificare la forma dell'istanza.
  • Le istanze schermate e il calcolo riservato si escludono a vicenda (non è possibile abilitarle entrambe).
  • Le seguenti funzioni non sono disponibili con la computazione riservata:
    • Capacità prerilasciabile
    • Riserve capacità
    • Istanze schermate

Abilitazione della computazione riservata

Per abilitare la computazione riservata per un'istanza, effettuare le operazioni riportate di seguito.

  1. Selezionare una forma Bare Metal o VM supportata in OCI che può essere abilitata per la computazione riservata.
  2. Durante il workflow di creazione dell'istanza, assicurarsi che l'opzione Abilita calcolo riservato sia selezionata nella configurazione della forma.
  3. Completa la configurazione di tutte le altre istanze in base alle esigenze, incluse le impostazioni di rete, immagine della piattaforma e volume di avvio. Quindi avviare l'istanza. Per ulteriori informazioni, vedere Creazione di un'istanza.