في Google ، نعتقد أن مستقبل الحوسبة السحابية سيتجه بشكل متزايد نحو الخدمات الخاصة المشفرة التي توفر للمستخدمين ثقة كاملة في التحكم في خصوصية البيانات.
تقوم Google Cloud بالفعل بتشفير بيانات العملاء أثناء النقل وفي حالة الراحة ، ولكن لا يزال يتعين فك تشفيرها لتتم معالجتها. الحوسبة السرية هي تقنية ثورية تستخدم لتشفير البيانات أثناء معالجتها. تسمح بيئات الحوسبة السرية بتخزين البيانات المشفرة في ذاكرة الوصول العشوائي (RAM) ومواقع أخرى خارج المعالج (وحدة المعالجة المركزية).
تخضع أجهزة VM السرية حاليًا للاختبار التجريبي وهي أيضًا المنتج الأول في خط Google Cloud Confidential Computing. نحن نقوم بالفعل بتنفيذ العديد من تقنيات العزل ووضع الحماية في البنية التحتية السحابية لدينا لتأمين البنية متعددة المستأجرين. ترتقي الأجهزة الافتراضية السرية بالأمان إلى المستوى التالي من خلال توفير التشفير في الذاكرة لعزل أعباء العمل بشكل أكبر في السحابة ، مما يساعد عملائنا على حماية البيانات الحساسة. نعتقد أن هذا سيكون ذا أهمية خاصة لأولئك الذين يعملون في الصناعات المنظمة (ربما يتعلق الأمر باللائحة العامة لحماية البيانات وأشياء أخرى ذات صلة ، تقريبا. مترجم).
فتح إمكانيات جديدة
بالفعل مع Asylo ، وهو نظام أساسي مفتوح المصدر للحوسبة السرية ، ركزنا على جعل بيئات الحوسبة السرية سهلة النشر والاستخدام ، وتقديم أداء وتطبيقات عالية لأي عبء عمل تختار تشغيله في السحابة. نعتقد أنه لا يجب المساومة على قابلية الاستخدام والمرونة والأداء والأمان.
مع انتقال Confidential VMs إلى الإصدار التجريبي ، نحن أول موفر خدمة سحابي رئيسي يقدم هذا المستوى من الأمان والعزل - ونوفر للعملاء خيارًا بسيطًا وسهل الاستخدام ، لكل من التطبيقات الجديدة والتطبيقات "المنقولة" (ربما تتحدث حول التطبيقات التي يمكن تشغيلها في السحابة بدون تغييرات كبيرة ، تقريبا. مترجم). نحن نقدم:
-
خصوصية لا مثيل لها: يمكن للعملاء حماية خصوصية بياناتهم الحساسة في السحابة ، حتى أثناء معالجتها. تستخدم VMs السرية ميزة Secure Encrypted Virtualization (SEV) للجيل الثاني من معالجات AMD EPYC. تظل بياناتك مشفرة أثناء الاستخدام والفهرسة والاستعلام والتعلم. يتم إنشاء مفاتيح التشفير على الأجهزة بشكل منفصل لكل جهاز افتراضي ولا تترك الجهاز أبدًا.
-
تحسين الابتكار: يمكن للحوسبة السرية أن تفتح سيناريوهات معالجة كانت مستحيلة في السابق. يمكن للشركات الآن مشاركة مجموعات البيانات الحساسة والتعاون في البحث في السحابة مع الحفاظ على الخصوصية.
-
خصوصية أعباء العمل المنقولة: هدفنا هو تبسيط الحوسبة السرية. يُعد الترحيل إلى الأجهزة الافتراضية السرية أمرًا سلسًا - حيث يمكن لجميع أحمال عمل GCP التي تعمل في الأجهزة الافتراضية الانتقال إلى أجهزة افتراضية سرية. الأمر بسيط - فقط ضع علامة واحدة.
-
الحماية من التهديدات المتقدمة: تعتمد الحوسبة السرية على حماية الأجهزة الظاهرية المحمية من أدوات rootkits ومجموعة bootkits ، مما يساعد على ضمان سلامة نظام التشغيل المختار للتشغيل في Confidential VM.
أساسيات الأجهزة الافتراضية السرية
تعمل الأجهزة الافتراضية السرية على أجهزة افتراضية N2D تعمل على الجيل الثاني من معالجات AMD EPYC. توفر ميزة AMD SEV أداءً عاليًا لمعظم مهام الحوسبة تطلبًا مع الحفاظ على تشفير ذاكرة الوصول العشوائي للجهاز الظاهري باستخدام مفتاح لكل جهاز افتراضي يتم إنشاؤه وإدارته بواسطة معالج EPYC. يتم إنشاء المفاتيح بواسطة معالج AMD Secure Processor عندما يتم إنشاء الجهاز الظاهري وتوجد حصريًا داخل الجهاز الظاهري ، مما يجعلها غير قابلة للوصول إلى كل من Google والأجهزة الافتراضية الأخرى التي تعمل على نفس المضيف.
بالإضافة إلى تشفير ذاكرة الوصول العشوائي المدمج المستند إلى الأجهزة ، فإننا نبني أجهزة افتراضية سرية فوق أجهزة افتراضية محمية لتوفير مقاومة لاختراقات صور نظام التشغيل ، والتحقق من سلامة البرامج الثابتة ، وثنائيات النواة ، وبرامج التشغيل. تتضمن الصور التي تقدمها Google Ubuntu 18.04 و Ubuntu 20.04 و Container Optimized OS (COS v81) و RHEL 8.2. نحن نعمل على Centos و Debian وغيرهما لتقديم صور أنظمة تشغيل أخرى.
نعمل أيضًا عن كثب مع فريق هندسة AMD Cloud Solution لضمان عدم تأثر الأداء بتشفير ذاكرة الجهاز الظاهري. لقد أضفنا دعمًا لبرامج تشغيل OSS الجديدة (nvme و gvnic) للتعامل مع طلبات نظام التخزين الفرعي وحركة مرور الشبكة بمعدل إنتاجية أعلى من البروتوكولات القديمة. سمح لنا ذلك بالتأكد من أن مؤشرات أداء الأجهزة الافتراضية السرية قريبة من تلك الخاصة بالأجهزة الافتراضية العادية.
مدمج في الجيل الثاني من معالجات AMD EPYC ، يوفر Secure Encrypted Virtualization ميزة أمان مبتكرة تعتمد على الأجهزة للمساعدة في حماية البيانات في بيئة افتراضية. لدعم GCE Confidential VMs N2D الجديد ، عملنا مع Google لمساعدة العملاء على تأمين بياناتهم وضمان أداء أعباء العمل الخاصة بهم. يسعدنا جدًا أن نرى أن الأجهزة الافتراضية السرية تُظهر نفس المستوى من الأداء العالي عبر أعباء العمل مثل أجهزة N2D VM النموذجية.
راغو نامبيار ، نائب الرئيس ، النظام البيئي لمركز البيانات ، AMD
تكنولوجيا تغير قواعد اللعبة
يمكن أن تساعد الحوسبة السرية في تغيير طريقة معالجة بيانات الشركة في السحابة مع الحفاظ على الخصوصية والأمان. أيضًا ، من بين مزايا أخرى ، ستتمكن الشركات من العمل معًا دون المساس بسرية مجموعات البيانات. يمكن أن يؤدي هذا التعاون ، بدوره ، إلى تطوير المزيد من التقنيات والأفكار التحويلية ، على سبيل المثال ، إمكانية إنشاء لقاحات بسرعة وعلاج الأمراض نتيجة لهذا التعاون الآمن.
لا يسعنا الانتظار لرؤية الفرص التي تفتحها هذه التكنولوجيا لشركتك. يرى لمعرفة المزيد.
PS ليست المرة الأولى ، ونأمل ألا تكون المرة الأخيرة التي تطرح فيها Google التكنولوجيا التي تغير العالم. كما كان الحال مع Kubernetes مؤخرًا. نحن ندعم تقنيات Goggle ونوزعها بأفضل ما لدينا - نقوم بتدريب متخصصي تكنولوجيا المعلومات في روسيا. شركتنا هي واحدة من 3 مقدم خدمة معتمد من Kubernetes والوحيدة شريك تدريب Kubernetes في روسيا. لذلك ، كل ربيع وخريف نعقد تدريبات Kubernetes المكثفة. وستقام المناورات المكثفة القادمة في 28 و 30 سبتمبر و14-16 أكتوبر .
المصدر: www.habr.com