Jordi Guijarro, Principal Cloud-Edge Ecosystem Manager en OpenNebula Systems, publicó el 9 de junio de 2026 un artículo donde anuncia dos cosas relacionadas. La primera: OpenNebula Systems se ha incorporado al Confidential Computing Consortium (CCC) como General Member. La segunda: el proyecto aparece reconocido en el white paper del consorcio, 3 Degrees of Confidential Computing, como plataforma que soporta máquinas virtuales confidenciales (CVM).
El Confidential Computing Consortium agrupa a fabricantes de hardware, proveedores cloud y proyectos de software alrededor del cifrado de datos en uso, es decir, cuando la información está cargada en memoria y siendo procesada, no solo cuando está en disco o viajando por la red. Que OpenNebula entre como miembro y figure en el informe sitúa una plataforma de gestión cloud de código abierto dentro de esa conversación, hasta ahora bastante dominada por servicios propietarios.
El modelo de madurez en tres niveles
El informe del CCC propone una progresión en tres escalones para adoptar computación confidencial:
- Nivel 1, la puerta de entrada: máquinas virtuales confidenciales respaldadas por hardware con cambios operativos mínimos.
- Nivel 2: control basado en atestación (attestation), donde se verifica criptográficamente el estado del entorno antes de confiar en él.
- Nivel 3: identidad y verificación a nivel de carga de trabajo.
El documento describe el Nivel 1 como “hardware-backed protection with minimal operational change”: protección anclada en hardware sin tener que rehacer tu forma de trabajar. La idea es defender las VM frente a actores con privilegios en el propio host y frente a otros inquilinos que comparten la misma infraestructura.
VMs confidenciales sobre KVM
OpenNebula da soporte a cargas confidenciales sobre hipervisores KVM apoyándose en varias tecnologías de hardware:
- AMD SEV-SNP
- Intel TDX
- Arm CCA
El artículo acompaña la noticia con una demostración en vídeo donde OpenNebula gestiona a la vez VM confidenciales y VM estándar. En las primeras, el cifrado de memoria queda verificado dentro del propio guest y protegido de la visibilidad del host. Esto es lo que diferencia una VM confidencial de una normal: ni siquiera quien administra la máquina física puede leer lo que la VM tiene cargado en RAM.
Qué trae OpenNebula 7.2
La versión 7.2, publicada en 2026, amplía este soporte con varias piezas concretas:
- Confianza enraizada en hardware (hardware-rooted trust).
- Cifrado de memoria para cargas KVM.
- Integración de TPM virtual.
- Mejoras de orquestación para clouds soberanos, sistemas con aceleración por GPU y redes de alta velocidad.
Si quieres entender cómo encajan las capas que hay debajo de todo esto, el repaso a KVM, QEMU y libvirt ayuda a ubicar dónde actúa cada componente.
A quién le interesa
El destinatario claro son las llamadas AI Factories que montan servicios de IA soberanos: organizaciones que entrenan, afinan y sirven modelos con datos sensibles, pesos propietarios, conjuntos de datos regulados y bases de conocimiento corporativas. Para ellas, el riesgo no es solo el atacante externo, sino la propia infraestructura compartida. OpenNebula plantea convertir esa infraestructura confidencial en un servicio repetible, gestionable y auditable, integrado con planificación, multi-tenancy, redes, almacenamiento y orquestación de Kubernetes.
Para quien ya trabaja con OpenNebula sobre KVM, la lectura es directa: la computación confidencial deja de ser un montaje a medida y pasa a estar dentro del flujo normal de despliegue de VM.
Fuente
Artículo original de OpenNebula: OpenNebula Highlighted in Confidential Computing Consortium Report, por Jordi Guijarro (9 de junio de 2026). Recogido en LinuxGratis como agregador de novedades de virtualización sobre QEMU/KVM.