TL; DR: ara podeu executar Kubernetes de Google.
Google avui (08.09.2020/XNUMX/XNUMX, aprox. traductor) a l'acte va anunciar l'ampliació de la seva línia de productes amb el llançament d'un nou servei.
Els nodes confidencials de GKE afegeixen més privadesa a les càrregues de treball que s'executen a Kubernetes. Al juliol es va llançar el primer producte anomenat , i avui aquestes màquines virtuals ja estan disponibles públicament per a tothom.
La informàtica confidencial és un producte nou que implica emmagatzemar dades en forma xifrada mentre es processen. Aquest és l'últim enllaç de la cadena de xifratge de dades, ja que els proveïdors de serveis al núvol ja encripten les dades dins i fora. Fins fa poc, era necessari desxifrar les dades a mesura que es processaven, i molts experts ho veuen com un forat flagrant en el camp del xifratge de dades.
La Confidential Computing Initiative de Google es basa en una col·laboració amb el Confidential Computing Consortium, un grup del sector per promoure el concepte d'entorns d'execució de confiança (TEE). TEE és una part segura del processador en la qual es xifren les dades i el codi carregats, la qual cosa significa que altres parts del mateix processador no poden accedir a aquesta informació.
Les màquines virtuals confidencials de Google s'executen en màquines virtuals N2D que s'executen amb els processadors EPYC de segona generació d'AMD, que utilitzen la tecnologia de virtualització xifrada segura per aïllar les màquines virtuals de l'hipervisor on s'executen. Hi ha una garantia que les dades romandran xifrades independentment del seu ús: càrregues de treball, anàlisis, peticions de models de formació per a intel·ligència artificial. Aquestes màquines virtuals estan dissenyades per satisfer les necessitats de qualsevol empresa que gestioni dades sensibles en àrees regulades com el sector bancari.
Potser més urgent és l'anunci de les properes proves beta dels nodes confidencials de GKE, que Google diu que s'introduirà en la propera versió 1.18. (GKE). GKE és un entorn gestionat i preparat per a la producció per executar contenidors que allotgen parts d'aplicacions modernes que es poden executar en diversos entorns informàtics. Kubernetes és una eina d'orquestració de codi obert que s'utilitza per gestionar aquests contenidors.
L'addició de nodes confidencials de GKE proporciona més privadesa quan s'executen clústers de GKE. Quan vam afegir un nou producte a la línia d'informàtica confidencial, volíem oferir un nou nivell de
privadesa i portabilitat per a càrregues de treball en contenidors. Els nodes Confidential GKE de Google es basen en la mateixa tecnologia que les VM confidencials, la qual cosa us permet xifrar dades a la memòria mitjançant una clau de xifratge específica del node generada i gestionada pel processador AMD EPYC. Aquests nodes utilitzaran un xifratge RAM basat en maquinari basat en la funció SEV d'AMD, el que significa que les vostres càrregues de treball que s'executen en aquests nodes es xifraran mentre s'executen.
Sunil Potti i Eyal Manor, Cloud Engineers, Google
Als nodes de GKE confidencial, els clients poden configurar els clústers de GKE perquè els grups de nodes s'executin a les màquines virtuals confidencials. En poques paraules, qualsevol càrrega de treball que s'executi en aquests nodes es xifrarà mentre es processen les dades.
Moltes empreses requereixen encara més privadesa quan utilitzen serveis al núvol públic que no pas amb càrregues de treball locals que s'executen a les instal·lacions per protegir-se dels atacants. L'expansió de Google Cloud de la seva línia d'informàtica confidencial augmenta aquest llistó ja que ofereix als usuaris la possibilitat de proporcionar secret als clústers de GKE. I donada la seva popularitat, Kubernetes és un pas endavant clau per al sector, ja que ofereix a les empreses més opcions per allotjar de forma segura aplicacions de nova generació al núvol públic.
Holger Mueller, analista de Constellation Research.
NB La nostra empresa llançarà un curs intensiu actualitzat del 28 al 30 de setembre per a aquells que encara no coneixen Kubernetes, però volen familiaritzar-s'hi i començar a treballar. I després d'aquest esdeveniment del 14 al 16 d'octubre, llançarem una actualització per als usuaris experimentats de Kubernetes per als quals és important conèixer totes les solucions pràctiques més recents per treballar amb les últimes versions de Kubernetes i el possible "rake". Encès Analitzarem en teoria i a la pràctica les complexitats d'instal·lar i configurar un clúster llest per a la producció (“the-not-so-easy-way”), mecanismes per garantir la seguretat i la tolerància a fallades de les aplicacions.
Entre altres coses, Google va dir que les seves màquines virtuals confidencials obtindran algunes funcions noves a mesura que estiguin disponibles generalment a partir d'avui. Per exemple, van aparèixer informes d'auditoria que contenien registres detallats de la comprovació d'integritat del microprogramari del processador segur d'AMD utilitzat per generar claus per a cada instància de màquines virtuals confidencials.
També hi ha més controls per establir drets d'accés específics i Google també ha afegit la possibilitat de desactivar qualsevol màquina virtual no classificada en un projecte determinat. Google també connecta les màquines virtuals confidencials amb altres mecanismes de privadesa per proporcionar seguretat.
Podeu utilitzar una combinació de VPC compartides amb regles de tallafoc i restriccions de polítiques d'organització per garantir que les màquines virtuals confidencials es puguin comunicar amb altres màquines virtuals confidencials, fins i tot si s'estan executant en projectes diferents. A més, podeu utilitzar els controls de servei de VPC per definir l'abast dels recursos de GCP per a les vostres màquines virtuals confidencials.
Sunil Potti i Eyal Manor
Font: www.habr.com