TL; DR: Sada možete pokrenuti Kubernetes od googlea.
Google danas (08.09.2020., cca. prevodilac) na događaju najavio proširenje svoje linije proizvoda lansiranjem nove usluge.
Povjerljivi GKE čvorovi dodaju više privatnosti radnim opterećenjima koja se izvršavaju na Kubernetesu. U julu je lansiran prvi proizvod pod nazivom , a danas su ove virtuelne mašine već javno dostupne svima.
Confidential Computing je novi proizvod koji uključuje pohranjivanje podataka u šifriranom obliku dok se obrađuju. Ovo je posljednja karika u lancu enkripcije podataka, budući da pružatelji usluga u oblaku već šifriraju podatke i izlaze. Donedavno je bilo potrebno dešifrirati podatke dok su se obrađivali, a mnogi stručnjaci to vide kao očiglednu rupu u polju enkripcije podataka.
Google-ova inicijativa za povjerljivo računarstvo zasniva se na saradnji sa Confidential Computing Consortiumom, industrijskom grupom koja promovira koncept pouzdanih okruženja za izvršavanje (TEE). TEE je siguran dio procesora u kojem su učitani podaci i kod šifrirani, što znači da ovim informacijama ne mogu pristupiti drugi dijelovi istog procesora.
Google-ovi povjerljivi VM-ovi rade na N2D virtuelnim mašinama koje rade na AMD-ovim procesorima druge generacije EPYC, koji koriste tehnologiju Secure Encrypted Virtualization da izoluju virtuelne mašine od hipervizora na kojem rade. Postoji garancija da podaci ostaju šifrirani bez obzira na njihovu upotrebu: radna opterećenja, analitiku, zahtjeve za modele obuke za umjetnu inteligenciju. Ove virtuelne mašine su dizajnirane da zadovolje potrebe bilo koje kompanije koja rukuje osetljivim podacima u regulisanim oblastima kao što je bankarska industrija.
Možda je važnija najava predstojećeg beta testiranja povjerljivih GKE čvorova, za koje Google kaže da će biti predstavljeni u nadolazećem izdanju 1.18 (GKE). GKE je upravljano okruženje spremno za proizvodnju za pokretanje kontejnera u kojima se nalaze dijelovi modernih aplikacija koje se mogu izvoditi u više računarskih okruženja. Kubernetes je orkestarski alat otvorenog koda koji se koristi za upravljanje ovim kontejnerima.
Dodavanje povjerljivih GKE čvorova pruža veću privatnost prilikom pokretanja GKE klastera. Prilikom dodavanja novog proizvoda liniji Confidential Computing, željeli smo pružiti novi nivo
privatnost i prenosivost za kontejnerska radna opterećenja. Google-ovi povjerljivi GKE čvorovi su izgrađeni na istoj tehnologiji kao i povjerljivi VM, omogućavajući vam da šifrirate podatke u memoriji pomoću ključa za šifriranje specifičnog za čvor koji generira i njime upravlja AMD EPYC procesor. Ovi čvorovi će koristiti hardversko baziranu RAM enkripciju zasnovanu na AMD-ovoj SEV funkciji, što znači da će vaša radna opterećenja koja rade na ovim čvorovima biti šifrirana dok rade.
Sunil Potti i Eyal Manor, Cloud inženjeri, Google
Na povjerljivim GKE čvorovima, korisnici mogu konfigurirati GKE klastere tako da skupovi čvorova rade na povjerljivim VM-ovima. Jednostavno rečeno, svako radno opterećenje koje se pokreće na ovim čvorovima bit će šifrirano dok se podaci obrađuju.
Mnoga preduzeća zahtevaju još više privatnosti kada koriste javne usluge u oblaku nego za lokalna radna opterećenja koja se izvršavaju lokalno radi zaštite od napadača. Google Cloud proširenje njegove linije povjerljivog računanja podiže ovu ljestvicu pružajući korisnicima mogućnost pružanja tajnosti za GKE klastere. A s obzirom na svoju popularnost, Kubernetes je ključni korak naprijed za industriju, dajući kompanijama više mogućnosti za sigurno hostovanje aplikacija sljedeće generacije u javnom oblaku.
Holger Mueller, analitičar u Constellation Research.
NB Naša kompanija pokreće ažurirani intenzivni kurs od 28. do 30. septembra za one koji još ne poznaju Kubernetes, ali žele da se upoznaju sa njim i počnu da rade. I nakon ovog događaja od 14. do 16. oktobra, pokrećemo ažurirani za iskusne korisnike Kubernetesa za koje je važno da znaju sva najnovija praktična rješenja u radu sa najnovijim verzijama Kubernetesa i mogućim “grabljama”. On Analiziraćemo u teoriji i praksi zamršenosti instaliranja i konfigurisanja klastera spremnog za proizvodnju („ne-tako lak način”), mehanizama za osiguranje sigurnosti i tolerancije na greške aplikacija.
Između ostalog, Google je rekao da će njegovi povjerljivi VM-ovi dobiti neke nove funkcije pošto postanu općenito dostupni od danas. Na primjer, pojavili su se izvještaji revizije koji sadrže detaljne zapise provjere integriteta firmvera AMD Secure Processora koji se koristi za generiranje ključeva za svaku instancu povjerljivih VM-ova.
Postoji i više kontrola za postavljanje specifičnih prava pristupa, a Google je također dodao mogućnost onemogućavanja bilo koje neklasifikovane virtuelne mašine na datom projektu. Google također povezuje povjerljive VM-ove s drugim mehanizmima privatnosti kako bi pružio sigurnost.
Možete koristiti kombinaciju dijeljenih VPC-ova s pravilima zaštitnog zida i ograničenjima politike organizacije kako biste osigurali da povjerljivi VM mogu komunicirati s drugim povjerljivim VM-ovima, čak i ako se pokreću na različitim projektima. Dodatno, možete koristiti kontrole VPC usluga da postavite opseg GCP resursa za vaše povjerljive VM.
Sunil Potti i Eyal Manor
izvor: www.habr.com