Google представил Confidential VMs для Google Cloud Confidential Computing

Google представил Confidential VMs для Google Cloud Confidential Computing

Мы в компании Google верим, что облачные вычисления в будущем будут все чаще перемещаться в сторону частных, зашифрованных сервисов, гарантирующих пользователям полную уверенность в контроле секретности данных.

Google Cloud уже шифрует передаваемые и хранимые клиентские данные, но для обработки они все равно должны быть расшифрованы. Confidential computing — революционная технология, используемая для шифрования данных при их обработке. Окружения на основе confidential computing позволяют хранить шифрованные данные в оперативной памяти и других местах за пределами процессора (CPU).

Confidential VMs сейчас находятся на стадии beta-тестирования, а также являются первым продуктом в линейке Google Cloud Confidential Computing. Мы уже применяем различные способы изоляции и песочницы в нашей облачной инфраструктуре для обеспечения безопасности многопользовательской архитектуры. Confidential VMs выводят безопасность на новый уровень, предлагая шифрование оперативной памяти для дополнительной изоляции своих рабочих нагрузок в облаке, помогая нашим клиентам защитить секретные данные. Мы думаем, что это особенно заинтересует тех, кто работает в регулируемых отраслях (возможно это про GDPR и прочие связанные вещи, прим. переводчика).

Google представил Confidential VMs для Google Cloud Confidential Computing

Открываем новые возможности

Уже с Asylo, платформы с открытым исходным кодом для confidential computing, мы сосредоточились на обеспечении простоты развертывания и использования окружения для confidential computing, предлагая высокую производительность и применения для любой рабочей нагрузке, выбранной вами для выполнения в облаке. Мы считаем, что вам не надо идти на компромиссы в отношении удобства использования, гибкости, производительности и безопасности.

С переходом Confidential VMs в стадию beta мы стали первым крупным поставщиком облачных услуг, предлагающим такой уровень безопасности и изоляции — и предоставляем клиентам простой и легкий в использовании вариант, как для новых приложений, так и «портированных» (вероятно тут про приложения, которые можно запустить в облаке без значимых изменений, прим. переводчика). Мы обеспечиваем:

  • Непревзойденную секретность: клиенты могут защитить секретность своих чувствительных данных в облаке даже во время их обработки. Confidential VMs используют функцию Secure Encrypted Virtualization (SEV) второго поколения процессоров AMD EPYC. Ваши данные остаются зашифрованными во время использования, индексирования, запрашивания и обучения. Ключи шифрования создаются в оборудовании отдельно для каждой виртуальной машины и никогда не покидают оборудование.

  • Улучшенные инновации: confidential computing могут открыть сценарии обработки, которые ранее были невозможными. Компании сейчас могут обмениваться наборами секретных данных и совместно работать с исследованиями в облаке, сохраняя при этом секретность.

  • Секретность для «портированных» рабочих нагрузок: наша цель — упрощение confidential computing. Переход к Confidential VMs бесшовный — все рабочие нагрузки в GCP, запускаемые в виртуальных машинах, могут перейти к Confidential VMs. Все просто — достаточно поставить одну «галочку».

  • Защита от расширенных угроз: confidential computing строится на защите Shielded VMs против руткитов и буткитов, помогая обеспечить целостность операционной системы, выбранной для запуска в Confidential VM.

Google представил Confidential VMs для Google Cloud Confidential Computing

Азы Confidential VMs

Confidential VMs работают на виртуальных машинах N2D, которые запускаются на процессорах второго поколения AMD EPYC. Благодаря функции AMD SEV обеспечивается высокая производительность большинства требовательных вычислительных задач, сохраняя при этом оперативную память виртуальной машины зашифрованной отдельным для каждой виртуальной машины ключом, создаваемым и управляемым процессором EPYC. Ключи создаются сопроцессором AMD Secure Processor при создании виртуальной машины, находятся исключительно в нем, что делает их недоступными как для Google, так и для других виртуальных машин, работающих на этом же узле.

В дополнение к встроенному аппаратному шифрованию оперативной памяти мы создаем Confidential VMs поверх Shielded VMs, для обеспечения устойчивости к взломам образа операционной системы, проверки целостности прошивки, двоичных файлов ядра и драйверов. Предлагаемые Google образы включают Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) и RHEL 8.2. Мы работаем над Centos, Debian и прочими, чтобы предложить другие образы операционных систем.

Также мы тесно сотрудничаем с командой инженеров AMD Cloud Solution для обеспечения гарантий, что шифрование памяти виртуальной машины не повлияет на производительность. Мы добавили поддержку новых драйверов OSS (nvme и gvnic) для обработки запросов к подсистеме хранения и сетевого трафика с более высокой пропускной способностью, чем старые протоколы. Это позволило убедиться, что показатели производительности Confidential VMs близки к таковым для обычных виртуальных машин.

Google представил Confidential VMs для Google Cloud Confidential Computing

Благодаря Secure Encrypted Virtualization, встроенной во второе поколение процессоров AMD EPYC, обеспечивается инновационная аппаратная функция безопасности, позволяющая защитить данные в виртуализированном окружении. Для поддержки новых GCE Confidential VMs N2D мы работали с Google, чтобы помочь клиентам защитить свои данные и обеспечить производительность их рабочих нагрузок. Мы очень рады видеть, что Confidential VMs показывают такой же схожий уровень высокой производительности для разных нагрузок, как и типовые виртуальные машины N2D.

Raghu Nambiar, вице-президент, Data Center Ecosystem, AMD

Технология, меняющая правила игры

Confidential computing может помочь изменить способ корпоративной обработки данных в облаке, сохраняя секретность и безопасность. Также кроме прочих преимуществ, компании смогут работать вместе без ущерба для секретности наборов данных. Подобное сотрудничество, в свою очередь, может привести к разработке еще более преобразующих технологий и идей, представьте например, возможность быстрого создания вакцин и лечения болезней в результате такого безопасного сотрудничества.

Нам не терпится увидеть возможности, открываемые этой технологией для вашей компании. Смотрите здесь, чтобы узнать больше.

P.S. Не в первый и, надеюсь, не в последний раз Google выкатывает технологию, которая меняет мир. Как это было с Kubernetes совсем недавно. Мы по мере своих сил поддерживаем и распостраняем технологии Goggle — обучаем IT-специалистов в России. Наша компания является одним из 3 Kubernetes Certified Service Provider и единственным Kubernetes Training Partner в России. Потому мы каждую весну и осень проводим интенсивы по обучению Kubernetes. Ближайшие интенсивы пройдут 28-30 сентября Kubernetes База и 14–16 октября Kubernetes Мега.

Источник: habr.com