TL; DR: Вече можете да стартирате Kubernetes от Google.
Google днес (08.09.2020 г., прибл. преводач) на събитието обяви разширяването на своята продуктова линия с пускането на нова услуга.
Поверителните GKE възли добавят повече поверителност към работните натоварвания, изпълнявани на Kubernetes. През юли беше пуснат първият продукт, наречен , а днес тези виртуални машини вече са публично достъпни за всички.
Confidential Computing е нов продукт, който включва съхраняване на данни в криптирана форма, докато се обработват. Това е последната връзка във веригата за криптиране на данни, тъй като доставчиците на облачни услуги вече криптират данни на входа и навън. Доскоро беше необходимо данните да се дешифрират, докато се обработват, и много експерти виждат това като явна дупка в областта на криптирането на данни.
Инициативата на Google Confidential Computing Initiative се основава на сътрудничество с Confidential Computing Consortium, индустриална група за насърчаване на концепцията за надеждни среди за изпълнение (TEE). TEE е защитена част от процесора, в която заредените данни и код са криптирани, което означава, че тази информация не може да бъде достъпна от други части на същия процесор.
Поверителните виртуални машини на Google работят на N2D виртуални машини, работещи на процесори EPYC от второ поколение на AMD, които използват технология за сигурна криптирана виртуализация, за да изолират виртуалните машини от хипервайзора, на който работят. Има гаранция, че данните остават криптирани независимо от използването им: натоварвания, анализи, заявки за модели за обучение на изкуствен интелект. Тези виртуални машини са предназначени да отговорят на нуждите на всяка компания, обработваща чувствителни данни в регулирани области като банковата индустрия.
Може би по-належащо е обявяването на предстоящото бета тестване на поверителни GKE възли, което според Google ще бъде въведено в предстоящата версия 1.18 (GKE). GKE е управлявана, готова за производство среда за изпълнение на контейнери, които хостват части от модерни приложения, които могат да се изпълняват в множество изчислителни среди. Kubernetes е инструмент за оркестрация с отворен код, използван за управление на тези контейнери.
Добавянето на поверителни GKE възли осигурява по-голяма поверителност при изпълнение на GKE клъстери. Когато добавяхме нов продукт към линията Confidential Computing, искахме да предоставим ново ниво на
поверителност и преносимост за работни натоварвания в контейнери. Поверителните GKE възли на Google са изградени на същата технология като поверителни виртуални машини, което ви позволява да шифровате данни в паметта с помощта на специфичен за възела ключ за шифроване, генериран и управляван от процесора AMD EPYC. Тези възли ще използват хардуерно базирано RAM криптиране, базирано на функцията SEV на AMD, което означава, че вашите работни натоварвания, изпълнявани на тези възли, ще бъдат криптирани, докато работят.
Сунил Поти и Еял Манор, облачни инженери, Google
На поверителни GKE възли клиентите могат да конфигурират GKE клъстери, така че пуловете от възли да работят на поверителни виртуални машини. Просто казано, всички работни натоварвания, изпълнявани на тези възли, ще бъдат криптирани, докато данните се обработват.
Много предприятия изискват дори повече поверителност, когато използват публични облачни услуги, отколкото за локални работни натоварвания, изпълнявани на място, за да се предпазят от нападатели. Разширяването на линията Confidential Computing на Google Cloud вдига тази летва, като предоставя на потребителите възможността да предоставят секретност за GKE клъстери. И като се има предвид неговата популярност, Kubernetes е ключова стъпка напред за индустрията, като дава на компаниите повече възможности за сигурно хостване на приложения от следващо поколение в публичния облак.
Холгер Мюлер, анализатор в Constellation Research.
NB Нашата компания стартира актуализиран интензивен курс на 28-30 септември за тези, които все още не познават Kubernetes, но искат да се запознаят с него и да започнат работа. И след това събитие на 14–16 октомври стартираме актуализиран за опитни потребители на Kubernetes, за които е важно да знаят всички най-нови практически решения при работа с най-новите версии на Kubernetes и евентуален „рейк“. На Ще анализираме на теория и на практика тънкостите на инсталирането и конфигурирането на готов за производство клъстер („не-толкова-лесният начин“), механизмите за осигуряване на сигурност и устойчивост на грешки на приложенията.
Освен всичко друго, Google каза, че неговите поверителни виртуални машини ще получат някои нови функции, тъй като станат общодостъпни от днес. Например се появиха одитни доклади, съдържащи подробни регистрационни файлове на проверката на целостта на фърмуера на AMD Secure Processor, използван за генериране на ключове за всяко копие на поверителни виртуални машини.
Има и повече контроли за задаване на конкретни права за достъп, а Google също така добави възможността да деактивира всяка некласифицирана виртуална машина в даден проект. Google също така свързва конфиденциалните виртуални машини с други механизми за поверителност, за да осигури сигурност.
Можете да използвате комбинация от споделени VPC с правила на защитната стена и ограничения на политиката на организацията, за да гарантирате, че поверителните виртуални машини могат да комуникират с други поверителни виртуални машини, дори ако работят на различни проекти. Освен това можете да използвате VPC Service Controls, за да зададете обхвата на ресурсите на GCP за вашите поверителни виртуални машини.
Сунил Поти и имението Еял
Източник: www.habr.com