Sa Google, kami nagtuo nga ang kaugmaon sa cloud computing mas mobalhin ngadto sa pribado, encrypted nga mga serbisyo nga naghatag sa mga tiggamit og hingpit nga pagsalig sa pribasiya sa ilang datos.
Gi-encrypt na sa Google Cloud ang datos sa kustomer sa pagbiyahe ug sa pagpahulay, apan kinahanglan pa kini nga i-decrypt aron maproseso. Kompidensyal nga pag-compute maoy usa ka rebolusyonaryong teknolohiya nga gigamit sa pag-encrypt sa datos atol sa pagproseso. Ang kompidensyal nga mga palibot sa kompyuter nagtugot kanimo sa pagtipig sa naka-encrypt nga datos sa RAM ug uban pang mga lugar sa gawas sa processor (CPU).
Ang Confidential VMs anaa karon sa beta testing ug mao ang unang produkto sa Google Cloud Confidential Computing line. Gigamit na namo ang lain-laing mga pamaagi sa pag-inusara ug sandboxing sa among imprastraktura sa panganod aron masiguro ang seguridad sa usa ka multi-tenant nga arkitektura. Ang mga kompidensyal nga VM nagdala sa seguridad sa sunod nga lebel pinaagi sa pagtanyag sa in-memory nga encryption aron labi nga ihimulag ang ilang mga workloads sa panganod, pagtabang sa among mga kostumer nga mapanalipdan ang sensitibo nga datos. Nagtuo kami nga kini mahimong partikular nga interes sa mga nagtrabaho sa mga regulated nga industriya (tingali bahin sa GDPR ug uban pang may kalabotan nga mga butang, gibanabana. tighubad).
Pag-abli sa bag-ong mga oportunidad
Naa na sa Asylo, ang open source nga plataporma alang sa confidential computing, naka-focus kami sa paghimo sa confidential computing environment nga sayon i-deploy ug gamiton, nga nagtanyag og taas nga performance ug aplikasyon alang sa bisan unsang workload nga imong pilion nga ipadagan sa cloud. Kami nagtuo nga dili nimo kinahanglan nga ikompromiso ang usability, pagka-flexible, performance ug seguridad.
Uban sa Confidential VMs nga nagsulod sa beta, kami ang una nga mayor nga cloud provider nga nagtanyag niini nga lebel sa seguridad ug pag-inusara—ug naghatag sa mga kustomer og usa ka yano, sayon gamiton nga opsyon alang sa bag-ong mga aplikasyon ug "mga gi-port" (tingali mahitungod sa mga aplikasyon nga mahimong modagan sa panganod nga walay mahinungdanong kausaban, gibanabana. tighubad). Naghatag kami:
-
Dili hitupngan nga pagkapribado: Ang mga kustomer makapanalipod sa pagkapribado sa ilang sensitibo nga datos sa panganod, bisan kung kini giproseso. Ang mga kompidensyal nga VM naggamit sa Secure Encrypted Virtualization (SEV) nga bahin sa ikaduhang henerasyon nga AMD EPYC nga mga processor. Ang imong data nagpabilin nga naka-encrypt sa panahon sa paggamit, pag-indeks, pagpangutana, ug pagbansay. Ang mga yawe sa pag-encrypt gihimo sa hardware nga gilain alang sa matag virtual nga makina ug dili gayud mobiya sa hardware.
-
Gipauswag nga Kabag-ohan: Ang kompidensyal nga pag-compute mahimong magbukas sa mga senaryo sa pagproseso nga kaniadto dili mahimo. Ang mga kompanya mahimo nang magpaambit sa mga classified data set ug magtinabangay sa panukiduki sa panganod samtang gitipigan ang sekreto.
-
Pagkapribado para sa Ported Workloads: Ang among tumong mao ang pagpayano sa confidential computing. Ang transisyon ngadto sa Confidential VMs walay putol - ang tanang workloads sa GCP nga nagdagan sa virtual machine mahimong mo-migrate ngadto sa Confidential VMs. Simple ra - check lang ug usa ka box.
-
Advanced Threat Protection: Ang kompidensyal nga pagkompyuter nagtukod sa pagpanalipod sa Shielded VMs batok sa rootkits ug bootkits, nga nagtabang sa pagsiguro sa integridad sa operating system nga gipili nga modagan sa Confidential VM.
Mga sukaranan sa Confidential VMs
Ang mga kompidensyal nga VM nagdagan sa N2D virtual machine nga nagdagan sa ikaduhang henerasyon nga mga processor sa AMD EPYC. Ang SEV nga feature sa AMD naghatag ug taas nga performance sa pinaka-demand nga compute nga mga workloads samtang gitago ang virtual machine RAM nga naka-encrypt gamit ang per-VM key nga namugna ug gidumala sa EPYC processor. Ang mga yawe gimugna sa AMD Secure Processor coprocessor sa diha nga ang virtual nga makina gihimo ug nahimutang lamang niini, nga naghimo kanila nga dili ma-access sa Google ug uban pang mga virtual machine nga nagdagan sa samang node.
Agi og dugang sa built-in nga hardware RAM encryption, nagtukod mi og Confidential VMs sa ibabaw sa Shielded VMs aron makahatag og tamper-resistant nga operating system nga mga hulagway, firmware integrity checks, kernel binaries, ug mga driver. Ang mga hulagway nga gitanyag sa Google naglakip sa Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) ug RHEL 8.2. Nagtrabaho kami sa Centos, Debian ug uban pa aron itanyag ang ubang mga imahe sa operating system.
Kami usab nakigtambayayong pag-ayo sa AMD Cloud Solution engineering team aron masiguro nga ang virtual machine memory encryption dili makaapekto sa performance. Nagdugang kami og suporta para sa bag-ong mga driver sa OSS (nvme ug gvnic) aron pagdumala sa mga hangyo sa pagtipig ug trapiko sa network sa mas taas nga throughput kay sa mga daan nga protocol. Kini nagpaposible sa pagmatuod nga ang performance indicators sa Confidential VMs duol sa mga regular nga virtual machines.
Ang Secure Encrypted Virtualization, nga gitukod ngadto sa ikaduhang henerasyon sa AMD EPYC processors, naghatag ug innovative hardware security feature nga makatabang sa pagpanalipod sa datos sa virtualized environment. Para suportahan ang bag-ong GCE Confidential VMs N2D, nagtrabaho mi sa Google para tabangan ang mga kustomer nga maprotektahan ang ilang data ug masiguro ang performance sa ilang mga workloads. Nalipay kaayo kami nga makita nga ang Confidential VMs naghatod sa parehas nga lebel sa taas nga performance sa mga workloads sama sa kasagaran nga N2D VMs.
Raghu Nambiar, Bise Presidente, Data Center Ecosystem, AMD
Teknolohiya sa Pagbag-o sa Dula
Ang kompidensyal nga pag-compute makatabang sa pagbag-o sa paagi sa pagproseso sa mga negosyo sa datos sa panganod samtang gipadayon ang pagkapribado ug seguridad. Usab, taliwala sa ubang mga benepisyo, ang mga kompanya makahimo sa pagtrabaho nga magkauban nga wala ikompromiso ang sekreto sa mga set sa datos. Ang ingon nga kolaborasyon, sa baylo, mahimong mosangput sa pag-uswag sa labi pa nga pagbag-o nga mga teknolohiya ug mga ideya, sama sa abilidad sa dali nga paghimo og mga bakuna ug pagtambal sa mga sakit ingon usa ka sangputanan sa ingon nga luwas nga kolaborasyon.
Dili kami makahulat nga makita ang mga oportunidad nga gibuksan sa kini nga teknolohiya alang sa imong kompanya. Tan-awa aron mahibal-an ang labi pa.
PS Dili sa unang higayon, ug hinaot nga dili ang kataposan, ang Google nagpagawas ug teknolohiya nga nagbag-o sa kalibotan. Sama sa nahitabo sa Kubernetes bag-o lang. Kami nagsuporta ug nag-apod-apod sa mga teknolohiya sa Goggle kutob sa among mahimo ug nagbansay sa mga espesyalista sa IT sa Russia. Ang among kompanya usa sa 3 Kubernetes Certified Service Provider ug ang usa ra Kasosyo sa Pagbansay sa Kubernetes sa Russia. Mao nga nagpahigayon kami mga intensive nga sesyon sa pagbansay sa Kubernetes matag tingpamulak ug tingdagdag. Ang sunod nga intensive courses ipahigayon sa Septiyembre 28-30 ug Oktubre 14–16 .
Source: www.habr.com