Google добавил поддержку Kubernetes в Confidential Computing

TL;DR: Теперь можно запустить Kubernetes на Confidential VMs от Google.

Компания Google сегодня (08.09.2020, прим. переводчика) на мероприятии Cloud Next OnAir сообщила о расширении линейки своих продуктов запуском нового сервиса.

Узлы Confidential GKE добавляют больше секретности нагрузкам, запущенным в Kubernetes. В июле был запущен первый продукт под названием Confidential VMs, а сегодня эти виртуальные машины уже общедоступны всем.

Confidential Computing — новинка, предполагающая хранение данных в шифрованном виде во время их обработки. Это последнее звено в цепи шифрования данных, поскольку поставщики облачных услуг уже шифруют данные на входе и на выходе. До недавнего времени нужно было расшифровывать данные при их обработке, и многие специалисты видят в этом явную дыру в области шифрования данных.

Инициатива Confidential Computing от Google основана на сотрудничестве с консорциумом Confidential Computing, отраслевой группой для продвижения концепции «надежных окружений исполнения» (Trusted Execution Environments, TEEs). TEE — защищенная часть процессора, в которой загруженные данные и код — зашифрованы, что означает невозможность получения доступа к этой информации другими частями этого же процессора.

Confidential VMs от Google работают на виртуальных машинах N2D, запущенных на процессорах второго поколения EPYC компании AMD, использующих технологию Secure Encrypted Virtualization, позволяющую изолировать виртуальные машины от гипервизора, на котором они работают. Есть гарантия того, что данные остаются зашифрованными вне зависимости от их использования: рабочие нагрузки, аналитика, запросы на тренировку моделей для искуственного интеллекта. Эти виртуальные машины разработаны для удовлетворения потребностей любой компании, работающей с секретными данными в регулируемых областях, например в банковской отрасли.

Возможно более насущным является анонс о предстоящем beta-тестировании узлов Confidential GKE, которые, по словам Google, будут представлены в предстоящем выпуске 1.18 Google Kubernetes Engine (GKE). GKE — управляемое, готовое к внедрению на производстве окружение для запуска контейнеров, в которых размещаются части современных приложений, которые можно запускатьв нескольких вычислительных окружениях. Kubernetes — инструмент оркестровки с открытым исходным кодом, используемый для управления этими контейнерами.

Добавление узлов Confidential GKE обеспечивает большую секретность при запуске кластеров GKE. При добавлении нового продукта в линейке Confidential Computing мы хотели обеспечить новый уровень
секретности и переносимости для контейнеризированных нагрузок. Узлы Confidential GKE от Google построены на той же технологии, что и Confidential VMs, позволяют вам шифровать данные в оперативной памяти с помощью уникального для каждого узла ключа шифрования, создаваемого и управляемого процессором AMD EPYC. Такие узлы будут использовать аппаратное шифрование оперативной памяти на jснове функции SEV от компании AMD, что означает, что ваши рабочие нагрузки, выполняемые на таких узлах, будут зашифрованы во время их работы.

Sunil Potti и Eyal Manor, инженеры по облачным технологиям, Google

На узлах Confidential GKE клиенты могут настроить кластеры GKE так, что пулы узлов будут запущены на виртуальных машинах Confidential VMs. Проще говоря — любые рабочие нагрузки, выполняемые на таких узлах, будут зашифрованы во время обработки данных.

Многим предприятиям нужно еще больше секретности при использовании публичных облачных сервисов, чем для локальных рабочих нагрузок, запускаемых на своих мощностях, что нужно для защиты от злоумышленников. Google Cloud расширяя свою линейку Confidential Computing повышает эту планку, предоставляя пользователям возможность обеспечения секретности для кластеров GKE. А с учетом популярности Kubernetes — это ключевой шаг вперед для отрасли, дающий компаниям больше возможностей для безопасного размещения приложений следующего поколения в публичном облаке.

Holger Mueller, аналитик Constellation Research.

N.B. Наша компания 28-30 сентября запускает обновлённый интенсив Kubernetes База для тех, кто ещё не знает Kubernetes, но хочет с ним познакомиться и начать работать. А после этого мероприятия 14–16 октября мы запускаем обновлённый Kubernetes Мега для опытных пользователей Kubernetes, которым важно знать все последние практические решения в работе с Kubernetes последних версий и возможные «грабли». На Kubernetes Мега разбирём в теории и на практике тонкости установки и конфигурации production-ready кластера («the-not-so-easy-way»), механизмы обеспечения безопасности и отказоустойчивости приложений.

Кроме прочего Google заявила, что ее Confidential VMs получат некоторые новые возможности, поскольку они становятся общедоступными с этого дня. Например появились отчеты аудита, содержащие подробные журналы проверки целостности прошивки AMD Secure Processor, используемой для создания ключей для каждого экземпляра Confidential VMs.

Также появилось больше элементов управления для задания конкретных прав доступа, а также Google добавила возможность отключения любой несекретной виртуальной машины на заданном проекте. Также Google соединяет Confidential VMs с другими механизмами обеспечения секретности для обеспечения безопасности.

Вы можете использовать комбинацию общих VPC с правилами firewall и ограничениями политики огранизации для обеспечения уверенности в том, что Confidential VMs могут обмениваться данными с другими Confidential VMs, даже если они работают в разных проектах. Кроме этого вы можете использовать VPC Service Controls для задания области ресурсов GCP для ваших Confidential VMs.

Sunil Potti и Eyal Manor

Источник: habr.com