TL? DR: Τώρα μπορείτε να εκτελέσετε το Kubernetes από την Google.
Google σήμερα (08.09.2020/XNUMX/XNUMX, περίπου. μεταφράστης) στην εκδήλωση ανακοίνωσε την επέκταση της σειράς προϊόντων της με το λανσάρισμα μιας νέας υπηρεσίας.
Οι εμπιστευτικοί κόμβοι GKE προσθέτουν περισσότερο απόρρητο στους φόρτους εργασίας που εκτελούνται στο Kubernetes. Τον Ιούλιο κυκλοφόρησε το πρώτο προϊόν που ονομάζεται , και σήμερα αυτές οι εικονικές μηχανές είναι ήδη δημόσια διαθέσιμες σε όλους.
Το Confidential Computing είναι ένα νέο προϊόν που περιλαμβάνει την αποθήκευση δεδομένων σε κρυπτογραφημένη μορφή κατά την επεξεργασία τους. Αυτός είναι ο τελευταίος κρίκος στην αλυσίδα κρυπτογράφησης δεδομένων, καθώς οι πάροχοι υπηρεσιών cloud ήδη κρυπτογραφούν τα δεδομένα μέσα και έξω. Μέχρι πρόσφατα, ήταν απαραίτητο να αποκρυπτογραφηθούν τα δεδομένα καθώς επεξεργάζονταν και πολλοί ειδικοί το βλέπουν ως μια κραυγαλέα τρύπα στον τομέα της κρυπτογράφησης δεδομένων.
Το Confidential Computing Initiative της Google βασίζεται σε μια συνεργασία με την Confidential Computing Consortium, μια βιομηχανική ομάδα για την προώθηση της έννοιας των Trusted Execution Environments (TEE). Το TEE είναι ένα ασφαλές μέρος του επεξεργαστή στο οποίο τα φορτωμένα δεδομένα και ο κώδικας είναι κρυπτογραφημένα, πράγμα που σημαίνει ότι αυτές οι πληροφορίες δεν είναι προσβάσιμες από άλλα μέρη του ίδιου επεξεργαστή.
Τα Confidential VM της Google τρέχουν σε εικονικές μηχανές N2D που εκτελούνται με επεξεργαστές EPYC δεύτερης γενιάς της AMD, οι οποίοι χρησιμοποιούν τεχνολογία ασφαλούς κρυπτογραφημένης εικονικοποίησης για να απομονώνουν τις εικονικές μηχανές από τον υπερεπόπτη στον οποίο εκτελούνται. Υπάρχει εγγύηση ότι τα δεδομένα παραμένουν κρυπτογραφημένα ανεξάρτητα από τη χρήση τους: φόρτος εργασίας, αναλυτικά στοιχεία, αιτήματα για μοντέλα εκπαίδευσης για τεχνητή νοημοσύνη. Αυτές οι εικονικές μηχανές έχουν σχεδιαστεί για να καλύπτουν τις ανάγκες κάθε εταιρείας που χειρίζεται ευαίσθητα δεδομένα σε ρυθμιζόμενους τομείς όπως ο τραπεζικός κλάδος.
Ίσως πιο πιεστική είναι η ανακοίνωση της επερχόμενης beta δοκιμής των Confidential GKE nodes, που η Google λέει ότι θα παρουσιαστεί στην επερχόμενη έκδοση 1.18 (ΓΚΕ). Το GKE είναι ένα διαχειριζόμενο, έτοιμο για παραγωγή περιβάλλον για τη λειτουργία κοντέινερ που φιλοξενεί τμήματα σύγχρονων εφαρμογών που μπορούν να εκτελεστούν σε πολλαπλά υπολογιστικά περιβάλλοντα. Το Kubernetes είναι ένα εργαλείο ενορχήστρωσης ανοιχτού κώδικα που χρησιμοποιείται για τη διαχείριση αυτών των κοντέινερ.
Η προσθήκη Εμπιστευτικών κόμβων GKE παρέχει μεγαλύτερο απόρρητο κατά την εκτέλεση συμπλεγμάτων GKE. Όταν προσθέταμε ένα νέο προϊόν στη σειρά Confidential Computing, θέλαμε να παρέχουμε ένα νέο επίπεδο
απόρρητο και φορητότητα για φόρτους εργασίας με εμπορευματοκιβώτια. Οι κόμβοι Confidential GKE της Google είναι χτισμένοι στην ίδια τεχνολογία με τα Confidential VM, επιτρέποντάς σας να κρυπτογραφείτε δεδομένα στη μνήμη χρησιμοποιώντας ένα κλειδί κρυπτογράφησης συγκεκριμένου κόμβου που δημιουργείται και διαχειρίζεται ο επεξεργαστής AMD EPYC. Αυτοί οι κόμβοι θα χρησιμοποιούν κρυπτογράφηση RAM με βάση το υλικό που βασίζεται στη δυνατότητα SEV της AMD, πράγμα που σημαίνει ότι οι φόρτοι εργασίας σας που εκτελούνται σε αυτούς τους κόμβους θα κρυπτογραφούνται ενώ εκτελούνται.
Sunil Potti και Eyal Manor, Cloud Engineers, Google
Στους Εμπιστευτικούς κόμβους GKE, οι πελάτες μπορούν να διαμορφώσουν συμπλέγματα GKE έτσι ώστε οι ομάδες κόμβων να εκτελούνται σε Εμπιστευτικά VM. Με απλά λόγια, τυχόν φόρτοι εργασίας που εκτελούνται σε αυτούς τους κόμβους θα κρυπτογραφούνται κατά την επεξεργασία των δεδομένων.
Πολλές επιχειρήσεις απαιτούν ακόμη μεγαλύτερο απόρρητο όταν χρησιμοποιούν δημόσιες υπηρεσίες cloud απ' ό,τι για φόρτους εργασίας εσωτερικής εγκατάστασης που εκτελούνται εντός των εγκαταστάσεων για προστασία από εισβολείς. Η επέκταση της σειράς Confidential Computing από το Google Cloud ανεβάζει αυτόν τον πήχη παρέχοντας στους χρήστες τη δυνατότητα να παρέχουν μυστικότητα για τα συμπλέγματα GKE. Και δεδομένης της δημοτικότητάς του, το Kubernetes είναι ένα βασικό βήμα προς τα εμπρός για τον κλάδο, δίνοντας στις εταιρείες περισσότερες επιλογές να φιλοξενούν με ασφάλεια εφαρμογές επόμενης γενιάς στο δημόσιο cloud.
Holger Mueller, Αναλυτής στην Constellation Research.
Σημείωση Η εταιρεία μας ξεκινά ένα ενημερωμένο εντατικό μάθημα στις 28-30 Σεπτεμβρίου για όσους δεν γνωρίζουν ακόμη το Kubernetes, αλλά θέλουν να το εξοικειωθούν και να αρχίσουν να εργάζονται. Και μετά από αυτό το συμβάν στις 14–16 Οκτωβρίου, ξεκινάμε μια ενημέρωση για έμπειρους χρήστες του Kubernetes για τους οποίους είναι σημαντικό να γνωρίζουν όλες τις πιο πρόσφατες πρακτικές λύσεις για την εργασία με τις πιο πρόσφατες εκδόσεις του Kubernetes και πιθανές «ρακέτες». Επί Θα αναλύσουμε θεωρητικά και πρακτικά τις περιπλοκές εγκατάστασης και διαμόρφωσης ενός cluster έτοιμου για παραγωγή ("the-not-so-easy-way"), μηχανισμών για τη διασφάλιση της ασφάλειας και της ανοχής σε σφάλματα των εφαρμογών.
Μεταξύ άλλων, η Google είπε ότι τα Εμπιστευτικά VM της θα αποκτήσουν ορισμένες νέες δυνατότητες καθώς θα είναι γενικά διαθέσιμα από σήμερα. Για παράδειγμα, εμφανίστηκαν αναφορές ελέγχου που περιείχαν λεπτομερή αρχεία καταγραφής του ελέγχου ακεραιότητας του υλικολογισμικού AMD Secure Processor που χρησιμοποιείται για τη δημιουργία κλειδιών για κάθε παρουσία Εμπιστευτικών VM.
Υπάρχουν επίσης περισσότερα στοιχεία ελέγχου για τον ορισμό συγκεκριμένων δικαιωμάτων πρόσβασης και η Google έχει προσθέσει επίσης τη δυνατότητα απενεργοποίησης οποιασδήποτε μη ταξινομημένης εικονικής μηχανής σε ένα συγκεκριμένο έργο. Η Google συνδέει επίσης τα Εμπιστευτικά VM με άλλους μηχανισμούς απορρήτου για να παρέχει ασφάλεια.
Μπορείτε να χρησιμοποιήσετε έναν συνδυασμό κοινόχρηστων VPC με κανόνες τείχους προστασίας και περιορισμούς πολιτικής οργάνωσης για να διασφαλίσετε ότι τα Εμπιστευτικά VM μπορούν να επικοινωνούν με άλλα Εμπιστευτικά VM, ακόμα κι αν εκτελούνται σε διαφορετικά έργα. Επιπλέον, μπορείτε να χρησιμοποιήσετε τα Στοιχεία ελέγχου υπηρεσίας VPC για να ορίσετε το εύρος πόρων GCP για τα Εμπιστευτικά VM σας.
Sunil Potti και Eyal Manor
Πηγή: www.habr.com