Στην Google, πιστεύουμε ότι το μέλλον του υπολογιστικού νέφους θα μετατοπίζεται όλο και περισσότερο προς ιδιωτικές, κρυπτογραφημένες υπηρεσίες που δίνουν στους χρήστες απόλυτη εμπιστοσύνη στο απόρρητο των δεδομένων τους.
Το Google Cloud κρυπτογραφεί ήδη τα δεδομένα πελατών κατά τη μεταφορά και την ηρεμία, αλλά πρέπει ακόμα να αποκρυπτογραφηθούν για να υποβληθούν σε επεξεργασία. Εμπιστευτικός υπολογισμός είναι μια επαναστατική τεχνολογία που χρησιμοποιείται για την κρυπτογράφηση δεδομένων κατά την επεξεργασία. Τα εμπιστευτικά υπολογιστικά περιβάλλοντα σάς επιτρέπουν να αποθηκεύετε κρυπτογραφημένα δεδομένα στη μνήμη RAM και σε άλλα μέρη εκτός του επεξεργαστή (CPU).
Τα Confidential VMs βρίσκονται σε δοκιμή beta και είναι το πρώτο προϊόν στη σειρά Google Cloud Confidential Computing. Ήδη χρησιμοποιούμε διάφορες τεχνικές απομόνωσης και sandboxing στην υποδομή μας στο cloud για να διασφαλίσουμε την ασφάλεια μιας αρχιτεκτονικής πολλαπλών ενοικιαστών. Τα εμπιστευτικά VM ανεβάζουν την ασφάλεια στο επόμενο επίπεδο, προσφέροντας κρυπτογράφηση στη μνήμη για την περαιτέρω απομόνωση του φόρτου εργασίας τους στο cloud, βοηθώντας τους πελάτες μας να προστατεύουν ευαίσθητα δεδομένα. Πιστεύουμε ότι αυτό θα έχει ιδιαίτερο ενδιαφέρον για όσους εργάζονται σε ρυθμιζόμενες βιομηχανίες (ίσως για τον GDPR και άλλα συναφή πράγματα, περίπου. μεταφράστης).
Ανοίγοντας νέες δυνατότητες
Ήδη με την Asylo, την πλατφόρμα ανοιχτού κώδικα για εμπιστευτικούς υπολογισμούς, έχουμε επικεντρωθεί στο να κάνουμε τα εμπιστευτικά υπολογιστικά περιβάλλοντα εύκολα στην ανάπτυξη και χρήση, προσφέροντας υψηλή απόδοση και εφαρμογή για κάθε φόρτο εργασίας που επιλέγετε να εκτελείτε στο cloud. Πιστεύουμε ότι δεν χρειάζεται να κάνετε συμβιβασμούς στη χρηστικότητα, την ευελιξία, την απόδοση και την ασφάλεια.
Με τα εμπιστευτικά εικονικά μηχανήματα που εισέρχονται σε έκδοση beta, είμαστε ο πρώτος μεγάλος πάροχος cloud που προσφέρει αυτό το επίπεδο ασφάλειας και απομόνωσης—και παρέχουμε στους πελάτες μια απλή, εύχρηστη επιλογή τόσο για νέες εφαρμογές όσο και για "μεταφερόμενες" εφαρμογές (πιθανώς για εφαρμογές που μπορεί να εκτελεστεί στο cloud χωρίς σημαντικές αλλαγές, περίπου. μεταφράστης). Παρέχουμε:
-
Απαράμιλλο απόρρητο: Οι πελάτες μπορούν να προστατεύσουν το απόρρητο των ευαίσθητων δεδομένων τους στο cloud, ακόμη και όταν αυτά υποβάλλονται σε επεξεργασία. Τα εμπιστευτικά VM αξιοποιούν τη δυνατότητα Ασφαλούς κρυπτογραφημένης εικονικοποίησης (SEV) των επεξεργαστών AMD EPYC δεύτερης γενιάς. Τα δεδομένα σας παραμένουν κρυπτογραφημένα κατά τη χρήση, την ευρετηρίαση, την υποβολή ερωτημάτων και την εκπαίδευση. Τα κλειδιά κρυπτογράφησης δημιουργούνται στο υλικό ξεχωριστά για κάθε εικονική μηχανή και δεν φεύγουν ποτέ από το υλικό.
-
Βελτιωμένη καινοτομία: Ο εμπιστευτικός υπολογισμός μπορεί να ανοίξει σενάρια επεξεργασίας που προηγουμένως δεν ήταν δυνατά. Οι εταιρείες μπορούν πλέον να μοιράζονται απόρρητα σύνολα δεδομένων και να συνεργάζονται στην έρευνα στο cloud, διατηρώντας ταυτόχρονα το απόρρητο.
-
Απόρρητο για μεταφερόμενους φόρτους εργασίας: Στόχος μας είναι να απλοποιήσουμε τον εμπιστευτικό υπολογισμό. Η μετάβαση στα Εμπιστευτικά VM είναι απρόσκοπτη - όλοι οι φόρτοι εργασίας στο GCP που εκτελούνται σε εικονικές μηχανές μπορούν να μετεγκατασταθούν σε Εμπιστευτικά VM. Είναι απλό - απλώς επιλέξτε ένα πλαίσιο.
-
Προηγμένη προστασία από απειλές: Ο εμπιστευτικός υπολογισμός βασίζεται στην προστασία των θωρακισμένων εικονικών μηχανών από rootkits και bootkits, συμβάλλοντας στη διασφάλιση της ακεραιότητας του λειτουργικού συστήματος που έχει επιλεγεί για εκτέλεση στο Confidential VM.
Βασικά στοιχεία εμπιστευτικών εικονικών μηχανών
Τα εμπιστευτικά VM τρέχουν σε εικονικές μηχανές N2D που λειτουργούν σε επεξεργαστές AMD EPYC δεύτερης γενιάς. Η δυνατότητα SEV της AMD προσφέρει υψηλή απόδοση στους πιο απαιτητικούς υπολογιστικούς φόρτους εργασίας, ενώ διατηρεί κρυπτογραφημένη τη μνήμη RAM της εικονικής μηχανής με ένα κλειδί ανά VM που δημιουργείται και διαχειρίζεται ο επεξεργαστής EPYC. Τα κλειδιά δημιουργούνται από τον συνεπεξεργαστή AMD Secure Processor όταν δημιουργείται η εικονική μηχανή και βρίσκονται αποκλειστικά σε αυτήν, γεγονός που τα καθιστά απρόσιτα τόσο για την Google όσο και για άλλες εικονικές μηχανές που εκτελούνται στον ίδιο κόμβο.
Εκτός από την ενσωματωμένη κρυπτογράφηση RAM υλικού, χτίζουμε Εμπιστευτικά VM πάνω από θωρακισμένα VM για να παρέχουμε αντίσταση στην παραβίαση στην εικόνα του λειτουργικού συστήματος, επαληθεύοντας την ακεραιότητα του υλικολογισμικού, των δυαδικών αρχείων πυρήνα και των προγραμμάτων οδήγησης. Οι εικόνες που προσφέρει η Google περιλαμβάνουν Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) και RHEL 8.2. Εργαζόμαστε σε Centos, Debian και άλλα για να προσφέρουμε άλλες εικόνες λειτουργικού συστήματος.
Συνεργαζόμαστε επίσης στενά με την ομάδα μηχανικής της AMD Cloud Solution για να διασφαλίσουμε ότι η κρυπτογράφηση της μνήμης εικονικής μηχανής δεν επηρεάζει την απόδοση. Προσθέσαμε υποστήριξη για νέα προγράμματα οδήγησης OSS (nvme και gvnic) για τη διαχείριση αιτημάτων αποθήκευσης και κυκλοφορίας δικτύου με υψηλότερη απόδοση από τα παλαιότερα πρωτόκολλα. Αυτό κατέστησε δυνατή την επαλήθευση ότι οι δείκτες απόδοσης των εμπιστευτικών εικονικών μηχανών είναι κοντά σε αυτούς των κανονικών εικονικών μηχανών.
Το Secure Encrypted Virtualization, ενσωματωμένο στη δεύτερη γενιά επεξεργαστών AMD EPYC, παρέχει ένα καινοτόμο χαρακτηριστικό ασφαλείας υλικού που βοηθά στην προστασία των δεδομένων σε ένα εικονικοποιημένο περιβάλλον. Για την υποστήριξη των νέων GCE Confidential VMs N2D, συνεργαστήκαμε με την Google για να βοηθήσουμε τους πελάτες να προστατεύσουν τα δεδομένα τους και να διασφαλίσουμε την απόδοση του φόρτου εργασίας τους. Είμαστε πολύ χαρούμενοι που βλέπουμε ότι τα Εμπιστευτικά VM προσφέρουν το ίδιο επίπεδο υψηλής απόδοσης σε όλους τους φόρτους εργασίας με τα τυπικά εικονικά μηχανήματα N2D.
Raghu Nambiar, Αντιπρόεδρος, Data Center Ecosystem, AMD
Τεχνολογία που αλλάζει το παιχνίδι
Ο εμπιστευτικός υπολογισμός μπορεί να βοηθήσει στην αλλαγή του τρόπου με τον οποίο οι επιχειρήσεις επεξεργάζονται δεδομένα στο cloud, διατηρώντας παράλληλα το απόρρητο και την ασφάλεια. Επίσης, μεταξύ άλλων πλεονεκτημάτων, οι εταιρείες θα μπορούν να συνεργάζονται χωρίς να διακυβεύεται το απόρρητο των συνόλων δεδομένων. Μια τέτοια συνεργασία, με τη σειρά της, μπορεί να οδηγήσει στην ανάπτυξη ακόμη πιο μετασχηματιστικών τεχνολογιών και ιδεών, όπως η ικανότητα γρήγορης δημιουργίας εμβολίων και θεραπείας ασθενειών ως αποτέλεσμα μιας τέτοιας ασφαλούς συνεργασίας.
Ανυπομονούμε να δούμε τις ευκαιρίες που ανοίγει αυτή η τεχνολογία για την εταιρεία σας. Κοίτα για να μάθετε περισσότερα.
PS Όχι για πρώτη φορά, και ελπίζουμε ότι δεν είναι η τελευταία, η Google παρουσιάζει μια τεχνολογία που αλλάζει τον κόσμο. Όπως συνέβη με την Kubernetes πολύ πρόσφατα. Υποστηρίζουμε και διανέμουμε τις τεχνολογίες Goggle στο μέγιστο των δυνατοτήτων μας και εκπαιδεύουμε ειδικούς πληροφορικής στη Ρωσία. Η εταιρεία μας είναι μία από τις 3 Πιστοποιημένος πάροχος υπηρεσιών Kubernetes και ο μοναδικός Εκπαιδευτικός συνεργάτης Kubernetes στην Ρωσία. Γι' αυτό διεξάγουμε εντατικές προπονήσεις Kubernetes κάθε άνοιξη και φθινόπωρο. Τα επόμενα εντατικά μαθήματα θα πραγματοποιηθούν 28-30 Σεπτεμβρίου και 14–16 Οκτωβρίου .
Πηγή: www.habr.com