Google-da biz inanırıq ki, bulud hesablamalarının gələcəyi getdikcə daha çox istifadəçilərə məlumat məxfiliyinə tam əminlik verən özəl, şifrələnmiş xidmətlərə doğru dəyişəcək.
Google Cloud artıq tranzit və istirahətdə olan müştəri məlumatlarını şifrələyir, lakin emal üçün hələ də şifrəsi açılmalıdır. Gizli hesablama — emal zamanı məlumatların şifrələnməsi üçün istifadə edilən inqilabi texnologiya. Məxfi hesablama mühitləri şifrələnmiş məlumatların RAM-da və prosessordan (CPU) kənarda olan digər yerlərdə saxlanmasına imkan verir.
Məxfi VM-lər hazırda beta sınaq mərhələsindədir və Google Cloud Confidential Computing xəttindəki ilk məhsuldur. Çox kirayəçili arxitekturamızın təhlükəsizliyini təmin etmək üçün artıq bulud infrastrukturumuzda müxtəlif izolyasiya və sandboxing üsullarından istifadə edirik. Məxfi VM-lər müştərilərimizə həssas məlumatları qorumaqda kömək edərək, bulud iş yüklərinin əlavə təcrid edilməsi üçün RAM şifrələməsini təklif etməklə təhlükəsizliyi növbəti səviyyəyə qaldırır. Düşünürük ki, bu, tənzimlənən sənayelərdə (bəlkə də GDPR və digər əlaqəli məsələlərlə bağlı) işləyənlər üçün xüsusilə maraqlı olacaq. təqribən. tərcüməçi).
Yeni imkanların açılması
Məxfi hesablamalar üçün açıq mənbə platforması olan Asylo ilə biz buludda işləməyi seçdiyiniz istənilən iş yükünə yüksək performans və uyğunlaşma təklif edərək, məxfi hesablama mühitlərinin yerləşdirilməsi və istifadəsinin asanlığını təmin etməyə diqqət yetirmişik. İnanırıq ki, istifadə rahatlığı, çeviklik, performans və təhlükəsizlik baxımından güzəştə getməməlisiniz.
Konfidensial VM-lərin beta versiyasına daxil olması ilə biz müştərilərə həm yeni, həm də "daşınan" proqramlar üçün sadə, istifadəsi asan seçim imkanı verən bu səviyyəli təhlükəsizlik və izolyasiyanı təklif edən ilk əsas bulud provayderiyik (ehtimal ki, əhəmiyyətli dəyişikliklər olmadan buludda işlədilə bilən proqramlara istinad edirik). təqribən. tərcüməçi). Biz təmin edirik:
Analoqsuz məxfilik: Müştərilər hətta işlənərkən belə buludda öz həssas məlumatlarının məxfiliyini qoruya bilərlər. Məxfi VM-lər ikinci nəsil AMD EPYC prosessorlarının Secure Encrypted Virtualization (SEV) funksiyasından istifadə edir. İstifadə, indeksləşdirmə, sorğulama və təlim zamanı məlumatlarınız şifrələnmiş qalır. Şifrələmə açarları hər bir virtual maşın üçün yerli olaraq yaradılır və heç vaxt aparatı tərk etmir.
Təkmilləşdirilmiş innovasiya: Məxfi hesablama əvvəllər mümkün olmayan emal ssenarilərini aça bilər. İndi şirkətlər məxfiliyi qoruyaraq, məxfi məlumat dəstlərini paylaşa və buludda araşdırmalar üzrə əməkdaşlıq edə bilərlər.
"Daşınan" iş yükləri üçün məxfilik: Məqsədimiz məxfi hesablamaları sadələşdirməkdir. Məxfi VM-lərə keçid problemsizdir – virtual maşınlarda işləyən bütün GCP iş yükləri Məxfi VM-lərə keçə bilər. Bu sadədir - sadəcə qutuyu işarələyin.
Qabaqcıl Təhlükə Mühafizəsi: Məxfi hesablama, Məxfi VM-də işləmək üçün seçilmiş əməliyyat sisteminin bütövlüyünü təmin etməyə kömək edən, qorunan VM-lərin rootkitlərə və yükləmə dəstlərinə qarşı qorunmasına əsaslanır.
Məxfi VM-lərin Əsasları
Məxfi VM-lər ikinci nəsil AMD EPYC prosessorları ilə təchiz edilmiş N2D virtual maşınlarında (VM) işləyir. AMD-nin SEV funksiyası EPYC prosessoru tərəfindən yaradılan və idarə olunan xüsusi açarla VM RAM-nı şifrələyərkən ən tələbkar hesablama tapşırıqları üçün yüksək performans təmin edir. VM yaradıldıqda açarlar AMD Secure Processor (AP) tərəfindən yaradılır və eksklüziv olaraq onun daxilində yerləşərək onları Google və ya eyni node üzərində işləyən digər VM-lər üçün əlçatmaz edir.
RAM-ın daxili aparat şifrələməsinə əlavə olaraq, ƏS görüntüsünün müdaxiləyə davamlı olmasını təmin etmək və proqram təminatının, nüvə binarlarının və drayverlərin bütövlüyünü yoxlamaq üçün Qorunmuş VM-lərin üzərinə Məxfi VM-lər qururuq. Google-ın təklif etdiyi şəkillərə aşağıdakılar daxildir Ubuntu 18.04, Ubuntu 20.04, Konteyner Optimallaşdırılmış ƏS (COS v81) və RHEL 8.2. Biz üzərində işləyirik Centos, Debian və digərləri digər əməliyyat sistemi şəkillərini təqdim etmək üçün.
Virtual maşın yaddaşının şifrələnməsinin performansa təsir etməməsini təmin etmək üçün biz həmçinin AMD Cloud Solution mühəndis komandası ilə sıx əməkdaşlıq etdik. Köhnə protokollardan daha yüksək ötürmə qabiliyyəti olan yaddaş sorğularını və şəbəkə trafikini idarə etmək üçün yeni OSS sürücülərinə (nvme və gvnic) dəstək əlavə etdik. Bu, Confidential VM-lərin performansının adi virtual maşınların performansına yaxın olmasını təmin etdi.
İkinci nəsil AMD EPYC prosessorlarında quraşdırılmış Təhlükəsiz Şifrələnmiş Virtuallaşdırma virtuallaşdırılmış mühitlərdə məlumatların qorunmasına kömək edən innovativ aparat əsaslı təhlükəsizlik funksiyasını təmin edir. Yeni GCE Confidential VMs N2D-ni dəstəkləmək üçün müştərilərə məlumatlarını qorumaq və iş yüklərinin performansını təmin etmək üçün Google ilə işlədik. Məxfi VM-lərin standart N2D virtual maşınları kimi müxtəlif iş yüklərində eyni səviyyəli yüksək performans təmin etdiyini görməkdən məmnunuq.
Raghu Nambiar, AMD Məlumat Mərkəzi Ekosisteminin vitse-prezidenti
Oyun dəyişdirən texnologiya
Məxfi hesablama məxfiliyi və təhlükəsizliyi qoruyaraq, korporativ məlumatların buludda emal üsulunu dəyişdirməyə kömək edə bilər. Digər üstünlüklər arasında şirkətlər məlumat dəstlərinin məxfiliyinə xələl gətirmədən əməkdaşlıq edə biləcəklər. Bu cür əməkdaşlıq, öz növbəsində, daha da transformativ texnologiyaların və ideyaların inkişafına gətirib çıxara bilər – məsələn, belə təhlükəsiz əməkdaşlıq nəticəsində xəstəliklər üçün peyvəndlərin və müalicə vasitələrinin sürətli inkişafını təsəvvür edin.
Bu texnologiyanın şirkətiniz üçün açdığı imkanları görmək üçün səbirsizlənirik. Baxın daha çoxunu tapmaq üçün.
PS Bu, Google-un dünyanı dəyişən texnologiyanı təqdim etdiyi ilk dəfə deyil və ümid edirəm ki, sonuncu da olmayacaq. Bu yaxınlarda Kubernetes ilə etdikləri kimi. Biz Rusiyada İT mütəxəssisləri hazırlayaraq Google texnologiyalarını dəstəkləmək və yaymaq üçün əlimizdən gələni edirik. Şirkətimiz 3 şirkətdən biridir Kubernetes Sertifikatlı Xidmət Provayderi və yeganə Kubernetes Təlim Partnyoru Rusiyada. Buna görə də biz hər yaz və payızda Kubernetes məşqlərini intensiv şəkildə keçiririk. Növbəti intensivlər sentyabrın 28-30-da keçiriləcək. və 14-16 oktyabr .
Mənbə: www.habr.com
