U Googleu vjerujemo da će se budućnost računalstva u oblaku sve više pomicati prema privatnim, šifriranim uslugama koje korisnicima daju potpuno povjerenje u privatnost njihovih podataka.
Google Cloud već šifrira korisničke podatke u prijenosu iu mirovanju, ali ih još uvijek treba dešifrirati da bi se obradili. Povjerljivo računanje je revolucionarna tehnologija koja se koristi za šifriranje podataka tokom obrade. Povjerljiva računarska okruženja omogućavaju vam pohranjivanje šifriranih podataka u RAM i druga mjesta izvan procesora (CPU).
Povjerljivi VM je trenutno u beta testiranju i prvi je proizvod u liniji Google Cloud Confidential Computing. Već koristimo različite tehnike izolacije i sandboxinga u našoj infrastrukturi oblaka kako bismo osigurali sigurnost arhitekture sa više zakupaca. Povjerljivi VM podižu sigurnost na viši nivo nudeći šifriranje u memoriji kako bi dodatno izolirali svoja radna opterećenja u oblaku, pomažući našim klijentima da zaštite osjetljive podatke. Mislimo da će ovo biti od posebnog interesa za one koji rade u reguliranim industrijama (možda o GDPR-u i drugim srodnim stvarima, cca. prevodilac).
Otvaranje novih mogućnosti
Već sa Asylo, platformom otvorenog koda za povjerljivo računanje, fokusirali smo se na to da povjerljiva računarska okruženja učinimo lakim za implementaciju i korištenje, nudeći visoke performanse i primjenu za bilo koje radno opterećenje koje odaberete da radite u oblaku. Vjerujemo da ne morate praviti kompromise u pogledu upotrebljivosti, fleksibilnosti, performansi i sigurnosti.
Sa povjerljivim VM-ovima koji ulaze u beta verziju, mi smo prvi veliki provajder oblaka koji nudi ovaj nivo sigurnosti i izolacije—i pruža korisnicima jednostavnu opciju laku za korištenje i za nove i za one „prenesene“ (vjerovatno o aplikacijama koje može se pokrenuti u oblaku bez značajnih promjena, cca. prevodilac). Nudimo:
Privatnost bez premca: Korisnici mogu zaštititi privatnost svojih osjetljivih podataka u oblaku, čak i dok se obrađuju. Povjerljivi VM koriste funkciju Secure Encrypted Virtualization (SEV) druge generacije AMD EPYC procesora. Vaši podaci ostaju šifrirani tokom upotrebe, indeksiranja, upita i obuke. Ključevi za šifrovanje se kreiraju u hardveru posebno za svaku virtuelnu mašinu i nikada ne napuštaju hardver.
Poboljšana inovacija: Povjerljivo računarstvo može otvoriti scenarije obrade koji ranije nisu bili mogući. Kompanije sada mogu dijeliti povjerljive skupove podataka i sarađivati na istraživanju u oblaku uz očuvanje tajnosti.
Privatnost za prenesena radna opterećenja: Naš cilj je pojednostaviti povjerljivo računanje. Prijelaz na povjerljive VM je besprijekoran - sva radna opterećenja u GCP-u koji se izvršavaju na virtuelnim mašinama mogu migrirati na povjerljive VM. Jednostavno je - samo označite jedno polje.
Napredna zaštita od pretnji: Poverljivo računarstvo se zasniva na zaštiti zaštićenih VM-a od rootkita i bootkita, pomažući da se obezbedi integritet operativnog sistema odabranog za rad u poverljivoj VM.
Osnove povjerljivih VM-ova
Povjerljivi VM-ovi rade na N2D virtualnim mašinama koje rade na AMD EPYC procesorima druge generacije. AMD-ova SEV funkcija pruža visoke performanse na najzahtjevnijim računarskim radnim opterećenjima, dok RAM virtuelne mašine čuva šifrovanu pomoću ključa po VM koji generiše i njime upravlja EPYC procesor. Ključeve kreira koprocesor AMD Secure Processor kada se kreira virtuelna mašina i nalaze se isključivo u njoj, što ih čini nedostupnim i Google-u i drugim virtuelnim mašinama koje rade na istom čvoru.
Pored ugrađene hardverske enkripcije RAM-a, gradimo povjerljive virtuelne mašine (VM) preko zaštićenih VM-ova kako bismo osigurali da je slika operativnog sistema otporna na neovlaštene izmjene i kako bismo provjerili integritet firmvera, binarnih datoteka kernela i upravljačkih programa. Slike koje nudi Google uključuju Ubuntu 18.04, Ubuntu 20.04, OS optimiziran za kontejnere (COS v81) i RHEL 8.2. Radimo na Centos, Debian i druge da ponude slike drugih operativnih sistema.
Takođe blisko sarađujemo sa inženjerskim timom AMD Cloud Solution kako bismo osigurali da šifrovanje memorije virtuelne mašine ne utiče na performanse. Dodali smo podršku za nove OSS drajvere (nvme i gvnic) za rukovanje zahtjevima za skladištenje i mrežnim prometom većom propusnošću od starijih protokola. Ovo je omogućilo da se proveri da li su indikatori performansi poverljivih VM-ova bliski onima običnih virtuelnih mašina.
Sigurna šifrovana virtuelizacija, ugrađena u drugu generaciju AMD EPYC procesora, pruža inovativnu hardversku bezbednosnu funkciju koja pomaže u zaštiti podataka u virtuelizovanom okruženju. Kako bismo podržali nove GCE Confidential VMs N2D, radili smo s Googleom kako bismo pomogli klijentima da zaštite svoje podatke i osiguraju performanse njihovih radnih opterećenja. Veoma smo zadovoljni što vidimo da povjerljivi VM-ovi pružaju isti nivo visokih performansi u svim radnim opterećenjima kao tipični N2D VM.
Raghu Nambiar, potpredsjednik, Data Center Ecosystem, AMD
Game Changeing Technology
Povjerljivo računanje može pomoći u promjeni načina na koji preduzeća obrađuju podatke u oblaku uz očuvanje privatnosti i sigurnosti. Takođe, između ostalih pogodnosti, kompanije će moći da rade zajedno bez ugrožavanja tajnosti skupova podataka. Takve suradnje, zauzvrat, mogu dovesti do razvoja još transformativnijih tehnologija i ideja, kao što je sposobnost brzog stvaranja cjepiva i liječenja bolesti kao rezultat takve sigurne suradnje.
Jedva čekamo da vidimo mogućnosti koje ova tehnologija otvara vašoj kompaniji. Pogledaj da saznate više.
PS Ne prvi put, a nadamo se ni posljednji, Google uvodi tehnologiju koja mijenja svijet. Kao što se nedavno dogodilo sa Kubernetesom. Podržavamo i distribuiramo Goggle tehnologije najbolje što možemo i obučavamo IT stručnjake u Rusiji. Naša kompanija je jedna od 3 Kubernetes certificirani dobavljač usluga i jedini Kubernetes partner za obuku u Rusiji. Zato svakog proljeća i jeseni provodimo intenzivne Kubernetes treninge. Naredni intenzivni kursevi održaće se od 28. do 30. septembra i 14–16. oktobra .
izvor: www.habr.com
