V Google věříme, že budoucnost cloud computingu se bude stále více posouvat směrem k soukromým, šifrovaným službám, které uživatelům poskytují naprostou důvěru v soukromí jejich dat.
Google Cloud již šifruje data zákazníků při přenosu i v klidu, ale ke zpracování je stále třeba dešifrovat. Důvěrné výpočty je revoluční technologie používaná k šifrování dat během zpracování. Důvěrná výpočetní prostředí umožňují ukládat šifrovaná data v paměti RAM a na dalších místech mimo procesor (CPU).
Důvěrné virtuální počítače jsou v současné době ve fázi beta testování a jsou prvním produktem v řadě Google Cloud Confidential Computing. V naší cloudové infrastruktuře již používáme různé techniky izolace a sandboxingu, abychom zajistili bezpečnost architektury s více nájemci. Důvěrné virtuální počítače posouvají zabezpečení na další úroveň tím, že nabízejí šifrování v paměti, které dále izoluje jejich pracovní zátěž v cloudu a pomáhá našim zákazníkům chránit citlivá data. Myslíme si, že to bude zajímat zejména ty, kteří pracují v regulovaných odvětvích (možná o GDPR a dalších souvisejících věcech, Cca. překladatel).
Otevírání nových možností
Již s Asylo, platformou s otevřeným zdrojovým kódem pro důvěrné výpočty, jsme se zaměřili na to, aby se důvěrná výpočetní prostředí snadno nasazovala a používala a nabídli vysoký výkon a aplikace pro jakoukoli pracovní zátěž, kterou se rozhodnete provozovat v cloudu. Věříme, že nemusíte dělat kompromisy v oblasti použitelnosti, flexibility, výkonu a zabezpečení.
Se vstupem důvěrných virtuálních počítačů do beta verze jsme prvním velkým poskytovatelem cloudu, který nabízí tuto úroveň zabezpečení a izolace – a poskytuje zákazníkům jednoduchou a snadno použitelnou možnost pro nové i „portované“ aplikace (pravděpodobně o aplikacích, které lze provozovat v cloudu bez významných změn, Cca. překladatel). Poskytujeme:
-
Bezkonkurenční soukromí: Zákazníci mohou chránit soukromí svých citlivých dat v cloudu, i když jsou zpracovávána. Důvěrné virtuální počítače využívají funkci Secure Encrypted Virtualization (SEV) druhé generace procesorů AMD EPYC. Vaše data zůstávají během používání, indexování, dotazování a školení zašifrována. Šifrovací klíče jsou vytvářeny v hardwaru samostatně pro každý virtuální stroj a nikdy neopouštějí hardware.
-
Vylepšená inovace: Důvěrné výpočty mohou otevřít scénáře zpracování, které dříve nebyly možné. Společnosti nyní mohou sdílet utajované soubory dat a spolupracovat na výzkumu v cloudu při zachování tajemství.
-
Soukromí pro přenesené pracovní zátěže: Naším cílem je zjednodušit důvěrné výpočty. Přechod na důvěrné virtuální počítače je bezproblémový – všechny pracovní zátěže v GCP běžící na virtuálních počítačích lze migrovat na důvěrné virtuální počítače. Je to jednoduché – stačí zaškrtnout jedno políčko.
-
Pokročilá ochrana před hrozbami: Confidential computing staví na ochraně chráněných virtuálních počítačů proti rootkitům a bootkitům a pomáhá zajistit integritu operačního systému vybraného pro spuštění na důvěrném virtuálním počítači.
Základy důvěrných virtuálních počítačů
Důvěrné virtuální počítače běží na virtuálních strojích N2D, které běží na procesorech AMD EPYC druhé generace. Funkce SEV společnosti AMD poskytuje vysoký výkon pro nejnáročnější výpočetní úlohy a zároveň zachovává RAM virtuálního stroje šifrovanou pomocí klíče pro jednotlivé VM generovaného a spravovaného procesorem EPYC. Klíče jsou vytvářeny koprocesorem AMD Secure Processor při vytváření virtuálního stroje a jsou umístěny výhradně v něm, díky čemuž jsou nepřístupné jak pro Google, tak pro ostatní virtuální stroje běžící na stejném uzlu.
Kromě vestavěného šifrování hardwarové paměti RAM stavíme na chráněné virtuální počítače důvěrné virtuální počítače, které poskytují obrazy operačního systému odolné proti neoprávněné manipulaci, kontroly integrity firmwaru, binární soubory jádra a ovladače. Obrázky nabízené společností Google zahrnují Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) a RHEL 8.2. Pracujeme na Centos, Debianu a dalších, abychom nabídli další obrazy operačního systému.
Úzce také spolupracujeme s vývojovým týmem cloudových řešení AMD, abychom zajistili, že šifrování paměti virtuálních strojů nebude mít vliv na výkon. Přidali jsme podporu pro nové ovladače OSS (nvme a gvnic), které zpracovávají požadavky na úložiště a síťový provoz s vyšší propustností než starší protokoly. To umožnilo ověřit, že ukazatele výkonu důvěrných virtuálních počítačů jsou blízké ukazatelům běžných virtuálních strojů.
Secure Encrypted Virtualization, zabudovaná do druhé generace procesorů AMD EPYC, poskytuje inovativní funkci hardwarového zabezpečení, která pomáhá chránit data ve virtualizovaném prostředí. Abychom podpořili nové virtuální počítače GCE Confidential N2D, spolupracovali jsme se společností Google, abychom pomohli zákazníkům chránit jejich data a zajistit výkon jejich pracovních úloh. Velmi nás těší, že důvěrné virtuální počítače poskytují stejnou úroveň vysokého výkonu napříč pracovní zátěží jako typické virtuální počítače N2D.
Raghu Nambiar, viceprezident, Data Center Ecosystem, AMD
Technologie měnící se hry
Důvěrné výpočty mohou pomoci změnit způsob, jakým podniky zpracovávají data v cloudu, a zároveň zachovat soukromí a zabezpečení. Kromě dalších výhod budou společnosti také moci spolupracovat, aniž by došlo k ohrožení utajení datových souborů. Taková spolupráce může následně vést k vývoji ještě transformativnějších technologií a nápadů, jako je schopnost rychle vytvářet vakcíny a léčit nemoci jako výsledek takto bezpečné spolupráce.
Nemůžeme se dočkat, až uvidíme příležitosti, které tato technologie otevírá vaší společnosti. Dívej se zjistit více.
PS Není to poprvé a doufejme, že ne naposledy, Google spouští technologii, která mění svět. Jak se to stalo s Kubernetes docela nedávno. Podporujeme a distribuujeme technologie Goggle podle našich nejlepších schopností a školíme IT specialisty v Rusku. Naše společnost je jednou ze 3 Certifikovaný poskytovatel služeb Kubernetes a jediný Školicí partner Kubernetes v Rusku. Proto každé jaro a podzim pořádáme intenzivní školení Kubernetes. Další intenzivní kurzy se budou konat 28. – 30. září a 14.–16. října .
Zdroj: www.habr.com