Lorsque vous déployez des machines virtuelles sur des infrastructures cloud publiques, il y aura au moins un acteur capable d’en capter les données : l’opérateur des infrastructures cloud, aussi appelé hyperscaler.

Peu importe que les données des unités de stockage soient chiffrées et les clés de chiffrement contrôlées par votre propre KMS (Key Management System), l’opérateur cloud sera en mesure de voir les données en clair en mémoire vive lorsqu’elles sont traitées par le processeur du serveur.

Des techniques de « confidential computing » permettent de résoudre cet épineux problème. L’idée est ici d’exploiter certaines fonctionnalités présentes dans les derniers processeurs – en l’occurrence l’AMD SEV (Secure Encrypted Virtualization) et l’Intel TDX (Trust Domain Extension) -, afin de faire fonctionner des machines virtuelles dans des espaces chiffrés de la mémoire vive. Ces machines virtuelles confidentielles pourront accueillir tout OS compatible avec les VM traditionnelles. Leur mise en œuvre se veut donc particulièrement simple.

Une offre qui se précise… chez les grands hyperscalers

À date, les trois grands hyperscalers américains proposent, ou sont en passe de proposer, des machines virtuelles confidentielles à leurs clients :

• Microsoft référence des VM confidentielles exploitant l’AMD SEV. La disponibilité est effective, mais sur demande. Des VM s’appuyant sur l’Intel TDX sont en preview.
• Amazon propose uniquement des VM confidentielles s’appuyant sur l’AMD SEV. Elles sont en disponibilité générale. L’offre Intel n’est pas prévue au catalogue.
• Google est en public preview sur les solutions AMD et en private preview sur celles d’Intel. Deux solutions qui pourraient passer en general availability au cours de l’été.

Notez que le prix des VM confidentielles est supérieur d’environ 10% à celui des VM classiques, le tout avec des performances en baisse d’environ 5%. Deux éléments largement acceptables au vu des bénéfices apportés en matière de confidentialité des environnements.

Plus proche de nous, OVH ne propose pas à ce stade de machines virtuelles confidentielles. Le cloud souverain NumSpot, certifié SecNumCloud, envisage pour sa part de déployer la technologie Intel TDX, afin de proposer des VM confidentielles à ses clients.

Attention à la vérifiabilité des environnements

N’oubliez pas enfin que cette technique ne permet de vous protéger que de l’opérateur d’infrastructure, et non des méfaits qui pourraient venir d’un administrateur système mal attentionné. Pour se protéger de ce type de menaces, d’autres techniques seront à envisager, comme le recours à des enclaves SGX.