TL؛ DR: يمكنك الآن تشغيل Kubernetes من جوجل.
جوجل اليوم (08.09.2020/XNUMX/XNUMX, تقريبا. مترجم) في الحدث أعلنت عن توسيع خط منتجاتها مع إطلاق خدمة جديدة.
تضيف عقد GKE السرية مزيدًا من الخصوصية لأحمال العمل التي تعمل على Kubernetes. في يوليو، تم إطلاق المنتج الأول المسمى واليوم أصبحت هذه الأجهزة الافتراضية متاحة للجمهور بالفعل للجميع.
الحوسبة السرية هي منتج جديد يتضمن تخزين البيانات في شكل مشفر أثناء معالجتها. هذا هو الرابط الأخير في سلسلة تشفير البيانات، نظرًا لأن موفري الخدمات السحابية يقومون بالفعل بتشفير البيانات الواردة والصادرة. حتى وقت قريب، كان من الضروري فك تشفير البيانات كما تتم معالجتها، ويرى العديد من الخبراء أن ذلك يمثل ثغرة صارخة في مجال تشفير البيانات.
تعتمد مبادرة الحوسبة السرية من Google على التعاون مع اتحاد الحوسبة السرية، وهو مجموعة صناعية تعمل على الترويج لمفهوم بيئات التنفيذ الموثوقة (TEEs). TEE هو جزء آمن من المعالج يتم فيه تشفير البيانات المحملة والتعليمات البرمجية، مما يعني أنه لا يمكن الوصول إلى هذه المعلومات بواسطة أجزاء أخرى من نفس المعالج.
تعمل أجهزة Google الافتراضية السرية على الأجهزة الافتراضية N2D التي تعمل على معالجات EPYC من الجيل الثاني من AMD، والتي تستخدم تقنية المحاكاة الافتراضية الآمنة المشفرة لعزل الأجهزة الافتراضية عن برنامج Hypervisor الذي تعمل عليه. هناك ضمان بأن تظل البيانات مشفرة بغض النظر عن استخدامها: أعباء العمل، والتحليلات، وطلبات نماذج التدريب للذكاء الاصطناعي. تم تصميم هذه الأجهزة الافتراضية لتلبية احتياجات أي شركة تتعامل مع البيانات الحساسة في المجالات الخاضعة للتنظيم مثل الصناعة المصرفية.
ولعل الأمر الأكثر إلحاحًا هو الإعلان عن الاختبار التجريبي القادم لعقد GKE السرية، والذي تقول Google إنه سيتم تقديمه في الإصدار 1.18 القادم (جي كي). GKE هي بيئة مُدارة وجاهزة للإنتاج لتشغيل الحاويات التي تستضيف أجزاء من التطبيقات الحديثة التي يمكن تشغيلها عبر بيئات حوسبة متعددة. Kubernetes هي أداة تنسيق مفتوحة المصدر تُستخدم لإدارة هذه الحاويات.
توفر إضافة عقد GKE السرية خصوصية أكبر عند تشغيل مجموعات GKE. عند إضافة منتج جديد إلى خط الحوسبة السرية، أردنا تقديم مستوى جديد من
الخصوصية وقابلية النقل لأحمال العمل المعبأة في حاويات. تم بناء عقد GKE السرية من Google على نفس تقنية الأجهزة الافتراضية السرية، مما يسمح لك بتشفير البيانات في الذاكرة باستخدام مفتاح تشفير خاص بالعقدة يتم إنشاؤه وإدارته بواسطة معالج AMD EPYC. ستستخدم هذه العقد تشفير ذاكرة الوصول العشوائي (RAM) المستند إلى الأجهزة استنادًا إلى ميزة AMD's SEV، مما يعني أن أحمال العمل التي تعمل على هذه العقد سيتم تشفيرها أثناء تشغيلها.
سونيل بوتي وإيال مانور، مهندسو السحابة، Google
في عقد GKE السرية، يمكن للعملاء تكوين مجموعات GKE بحيث تعمل تجمعات العقد على الأجهزة الافتراضية السرية. ببساطة، سيتم تشفير أي أحمال عمل يتم تشغيلها على هذه العقد أثناء معالجة البيانات.
تتطلب العديد من المؤسسات مزيدًا من الخصوصية عند استخدام الخدمات السحابية العامة مقارنةً بأحمال العمل المحلية التي يتم تشغيلها محليًا للحماية من المهاجمين. يؤدي توسيع Google Cloud لخط الحوسبة السرية الخاص بها إلى رفع هذا المستوى من خلال تزويد المستخدمين بالقدرة على توفير السرية لمجموعات GKE. ونظرًا لشعبيته، يعد Kubernetes خطوة رئيسية للأمام في الصناعة، مما يمنح الشركات المزيد من الخيارات لاستضافة تطبيقات الجيل التالي بشكل آمن في السحابة العامة.
هولجر مولر، محلل في شركة Constellation Research.
ملحوظة: تطلق شركتنا دورة مكثفة محدثة في الفترة من 28 إلى 30 سبتمبر بالنسبة لأولئك الذين لا يعرفون Kubernetes بعد، ولكنهم يريدون التعرف عليه وبدء العمل. وبعد هذا الحدث في 14-16 أكتوبر، سنطلق تحديثًا لمستخدمي Kubernetes ذوي الخبرة الذين من المهم بالنسبة لهم معرفة أحدث الحلول العملية في العمل مع أحدث إصدارات Kubernetes و"Rake" المحتملة. على سوف نقوم بتحليل نظريًا وعمليًا تعقيدات تثبيت وتكوين مجموعة جاهزة للإنتاج ("الطريقة غير السهلة") وآليات ضمان الأمان والتسامح مع الأخطاء في التطبيقات.
ومن بين أمور أخرى، قالت جوجل إن أجهزة VM السرية الخاصة بها ستكتسب بعض الميزات الجديدة عندما تصبح متاحة للجميع بدءًا من اليوم. على سبيل المثال، ظهرت تقارير التدقيق تحتوي على سجلات تفصيلية للتحقق من سلامة البرنامج الثابت لمعالج AMD الآمن المستخدم لإنشاء مفاتيح لكل مثيل من الأجهزة الافتراضية السرية.
هناك أيضًا المزيد من عناصر التحكم لتعيين حقوق وصول محددة، كما أضافت Google أيضًا القدرة على تعطيل أي جهاز افتراضي غير مصنف في مشروع معين. تقوم Google أيضًا بربط الأجهزة الافتراضية السرية بآليات الخصوصية الأخرى لتوفير الأمان.
يمكنك استخدام مجموعة من أجهزة VPC المشتركة مع قواعد جدار الحماية وقيود سياسة المؤسسة لضمان قدرة الأجهزة الافتراضية السرية على التواصل مع الأجهزة الافتراضية السرية الأخرى، حتى لو كانت تعمل في مشاريع مختلفة. بالإضافة إلى ذلك، يمكنك استخدام عناصر التحكم في خدمة VPC لتعيين نطاق موارد Google Cloud Platform لأجهزة VM السرية الخاصة بك.
سونيل بوتي وإيال مانور
المصدر: www.habr.com