En permettant d’héberger ses disques OS directement sur le cache des VM, Ubuntu Confidential VM assure une isolation complète des charge de travail dans le cloud et renforce les processus de vérification inhérents aux déploiement du confidential computing.
Canonical accélère sur le confidential computing. Après avoir intégré directement la solution Intel TDX à la dernière version d’Ubuntu, l’éditeur Open Source fait un pas de plus en matière d’informatique confidentiel en introduisant des Disques OS (DOS) éphémères pour Ubuntu Confidential VMs sur Microsoft Azure. Concrètement, cette solution permet de stocker les disques de système d’exploitation sur le cache du système d'exploitation de la VM ou sur le disque temp/ressource, sans avoir besoin de les enregistrer sur un autre stockage Azure distant. L’idée derrière cet outil est d’assurer qu’aucune trace ne subsiste une fois la VM éteinte et ainsi de limiter la dépendance aux infrastructures cloud sous-jacentes.
L’objectif principal du confidential computing est d’assurer que les charges de travail critiques tournent sur des environnements isolés au sein des infrastructures. Les fournisseurs de puces tels qu’Intel et AMD ont ainsi développé de nombreuses fonctionnalités pour assurer une isolation au niveau même du matériel. Dans le cadre du cloud, il est toutefois encore difficile de vérifier si les fournisseurs ont bien déployé la charge de travail de manière confidentielle. C’est à cette problématique que les disques éphémères doivent répondre.
Naturellement, les utilisateurs finaux souhaitent disposer d'une mesure d'attestation qui reflète de manière exhaustive la façon dont tous les composants logiciels sont exécutés à l'intérieur du périmètre de leur VM confidentielle. Cela inclut le micrologiciel de l'invité du CVM, le système d'exploitation de l'invité et leurs charges de travail.
Cependant, l'attestation au niveau de la puce est insuffisante, car elle n'offre des mesures que pour le logiciel initialement chargé dans le CVM, qui ne comprend généralement que le micrologiciel interne du CVM. Cela crée des incertitudes quant au système d'exploitation invité chargé et à la charge de travail de l'utilisateur, qui pourraient avoir été compromis par le fournisseur de cloud. En proposant un DOS qui peut être stocké soit sur le disque cache du système d'exploitation de la VM, soit sur le disque temp/ressource de la VM, Ubuntu Confidential VMs assure que l’ensemble du processus de création d’un environnement de confidential computing est protégé et certifié.
Il est toutefois important de noter que l’absolutisme de cette méthode ne convient pas à toutes les charges de travail. En raison de l'impossibilité de conserver les secrets lors des redémarrages, les disques OS éphémères restent compliqués à mettre en place pour des applications nécessitant un stockage persistant au sein de l'environnement, ou qui supporte mal la défaillance d’une VM.