Wir bei Google glauben, dass sich die Zukunft des Cloud Computing zunehmend in Richtung privater, verschlüsselter Dienste verlagern wird, die den Nutzern volles Vertrauen in die Privatsphäre ihrer Daten geben.
Google Cloud verschlüsselt Kundendaten bereits während der Übertragung und im Ruhezustand, sie müssen jedoch noch entschlüsselt werden, um verarbeitet zu werden. Vertrauliches Rechnen ist eine revolutionäre Technologie zur Verschlüsselung von Daten während der Verarbeitung. In vertraulichen Computerumgebungen können Sie verschlüsselte Daten im RAM und an anderen Orten außerhalb des Prozessors (CPU) speichern.
Confidential VMs befindet sich derzeit im Betatest und ist das erste Produkt der Google Cloud Confidential Computing-Reihe. Wir nutzen in unserer Cloud-Infrastruktur bereits verschiedene Isolations- und Sandboxing-Techniken, um die Sicherheit einer mandantenfähigen Architektur zu gewährleisten. Confidential VMs heben die Sicherheit auf die nächste Ebene, indem sie In-Memory-Verschlüsselung bieten, um ihre Arbeitslasten in der Cloud weiter zu isolieren und so unseren Kunden beim Schutz sensibler Daten zu helfen. Wir glauben, dass dies für diejenigen von besonderem Interesse sein wird, die in regulierten Branchen arbeiten (vielleicht in Bezug auf die DSGVO und andere verwandte Themen). ca. Übersetzer).
Neue Möglichkeiten eröffnen
Bereits bei Asylo, der Open-Source-Plattform für vertrauliches Computing, haben wir uns darauf konzentriert, vertrauliche Computerumgebungen einfach bereitzustellen und zu verwenden und hohe Leistung und Anwendung für jede Workload zu bieten, die Sie in der Cloud ausführen möchten. Wir glauben, dass Sie bei Benutzerfreundlichkeit, Flexibilität, Leistung und Sicherheit keine Kompromisse eingehen müssen.
Da Confidential VMs in die Betaphase geht, sind wir der erste große Cloud-Anbieter, der dieses Maß an Sicherheit und Isolation bietet – und Kunden eine einfache, benutzerfreundliche Option sowohl für neue als auch „portierte“ Anwendungen (wahrscheinlich für Anwendungen, die … kann ohne wesentliche Änderungen in der Cloud ausgeführt werden, ca. Übersetzer). Wir bieten an:
-
Unübertroffener Datenschutz: Kunden können die Privatsphäre ihrer sensiblen Daten in der Cloud schützen, auch während diese verarbeitet werden. Vertrauliche VMs nutzen die Secure Encrypted Virtualization (SEV)-Funktion der AMD EPYC-Prozessoren der zweiten Generation. Ihre Daten bleiben während der Nutzung, Indizierung, Abfrage und Schulung verschlüsselt. Verschlüsselungsschlüssel werden für jede virtuelle Maschine separat in der Hardware erstellt und verlassen niemals die Hardware.
-
Verbesserte Innovation: Confidential Computing kann Verarbeitungsszenarien eröffnen, die zuvor nicht möglich waren. Unternehmen können jetzt vertrauliche Datensätze in der Cloud austauschen und bei der Recherche zusammenarbeiten.
-
Datenschutz für portierte Workloads: Unser Ziel ist es, vertrauliche Datenverarbeitung zu vereinfachen. Der Übergang zu Confidential VMs erfolgt nahtlos – alle Workloads in GCP, die in virtuellen Maschinen ausgeführt werden, können zu Confidential VMs migriert werden. Es ist ganz einfach: Aktivieren Sie einfach ein Kästchen.
-
Erweiterter Bedrohungsschutz: Confidential Computing baut auf dem Schutz abgeschirmter VMs vor Rootkits und Bootkits auf und trägt dazu bei, die Integrität des Betriebssystems sicherzustellen, das für die Ausführung in der Confidential VM ausgewählt wurde.
Grundlagen vertraulicher VMs
Vertrauliche VMs laufen auf virtuellen N2D-Maschinen, die auf AMD EPYC-Prozessoren der zweiten Generation laufen. Die SEV-Funktion von AMD bietet hohe Leistung bei anspruchsvollsten Rechenlasten und sorgt gleichzeitig dafür, dass der RAM der virtuellen Maschine mit einem vom EPYC-Prozessor generierten und verwalteten Schlüssel pro VM verschlüsselt bleibt. Die Schlüssel werden beim Erstellen der virtuellen Maschine vom AMD Secure Processor-Coprozessor erstellt und befinden sich ausschließlich in dieser, wodurch sie sowohl für Google als auch für andere virtuelle Maschinen, die auf demselben Knoten ausgeführt werden, unzugänglich sind.
Zusätzlich zur integrierten Hardware-RAM-Verschlüsselung bauen wir vertrauliche VMs auf abgeschirmten VMs auf, um manipulationssichere Betriebssystem-Images, Firmware-Integritätsprüfungen, Kernel-Binärdateien und Treiber bereitzustellen. Zu den von Google angebotenen Images gehören Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) und RHEL 8.2. Wir arbeiten an Centos, Debian und anderen, um weitere Betriebssystem-Images anzubieten.
Wir arbeiten außerdem eng mit dem Entwicklungsteam der AMD Cloud Solution zusammen, um sicherzustellen, dass die Speicherverschlüsselung virtueller Maschinen die Leistung nicht beeinträchtigt. Wir haben Unterstützung für neue OSS-Treiber (nvme und gvnic) hinzugefügt, um Speicheranforderungen und Netzwerkverkehr mit höherem Durchsatz als bei älteren Protokollen zu verarbeiten. Dadurch konnte überprüft werden, dass die Leistungsindikatoren von Confidential VMs denen normaler virtueller Maschinen nahe kommen.
Secure Encrypted Virtualization, integriert in die zweite Generation der AMD EPYC-Prozessoren, bietet eine innovative Hardware-Sicherheitsfunktion, die zum Schutz von Daten in einer virtualisierten Umgebung beiträgt. Zur Unterstützung der neuen GCE Confidential VMs N2D haben wir mit Google zusammengearbeitet, um Kunden dabei zu helfen, ihre Daten zu schützen und die Leistung ihrer Arbeitslasten sicherzustellen. Wir freuen uns sehr, dass Confidential VMs über alle Arbeitslasten hinweg das gleiche hohe Leistungsniveau bieten wie typische N2D-VMs.
Raghu Nambiar, Vizepräsident, Data Center Ecosystem, AMD
Spielverändernde Technologie
Confidential Computing kann dazu beitragen, die Art und Weise zu verändern, wie Unternehmen Daten in der Cloud verarbeiten und gleichzeitig Datenschutz und Sicherheit wahren. Neben anderen Vorteilen können Unternehmen auch zusammenarbeiten, ohne die Geheimhaltung von Datensätzen zu gefährden. Solche Kooperationen können wiederum zur Entwicklung noch transformativerer Technologien und Ideen führen, wie beispielsweise die Fähigkeit, durch solche sicheren Kooperationen schnell Impfstoffe zu entwickeln und Krankheiten zu behandeln.
Wir können es kaum erwarten, die Möglichkeiten zu sehen, die diese Technologie Ihrem Unternehmen eröffnet. Suchen um mehr herauszufinden.
PS Nicht zum ersten Mal und hoffentlich nicht zum letzten Mal führt Google eine Technologie ein, die die Welt verändert. So wie es kürzlich bei Kubernetes der Fall war. Wir unterstützen und vertreiben Goggle-Technologien nach besten Kräften und bilden IT-Spezialisten in Russland aus. Unser Unternehmen ist eines von 3 Zertifizierter Kubernetes-Dienstleister und der Einzige Kubernetes-Schulungspartner in Russland. Deshalb führen wir jedes Frühjahr und Herbst intensive Kubernetes-Schulungen durch. Die nächsten Intensivkurse finden vom 28. bis 30. September statt und 14.–16. Oktober .
Source: habr.com