Ĉe Google, ni kredas, ke la estonteco de nuba komputado ĉiam pli ŝanĝiĝos al privataj, ĉifritaj servoj, kiuj donas al uzantoj kompletan konfidon pri la privateco de siaj datumoj.
Google Cloud jam ĉifras klientajn datumojn en trafiko kaj ripozo, sed ĝi ankoraŭ devas esti deĉifrita por esti prilaborita. Konfidenca komputado estas revolucia teknologio uzata por ĉifri datumojn dum prilaborado. Konfidencaj komputikaj medioj permesas vin stoki ĉifritajn datumojn en RAM kaj aliaj lokoj ekster la procesoro (CPU).
Konfidencaj VMs nuntempe estas en beta-testado kaj estas la unua produkto en la linio de Google Cloud Confidential Computing. Ni jam uzas diversajn izolitajn kaj sandboxing-teknikojn en nia nuba infrastrukturo por certigi la sekurecon de plurluanta arkitekturo. Konfidencaj VM-oj portas sekurecon al la sekva nivelo proponante en-memoran ĉifradon por plu izoli siajn laborŝarĝojn en la nubo, helpante niajn klientojn protekti sentemajn datumojn. Ni pensas, ke ĉi tio estos aparte interesa por tiuj, kiuj laboras en reguligitaj industrioj (eble pri GDPR kaj aliaj rilataj aferoj, ĉ. tradukisto).
Malfermante novajn ŝancojn
Jam kun Asylo, la malfermfonta platformo por konfidenca komputado, ni koncentriĝis pri igi konfidencajn komputikajn mediojn facile disfaldi kaj uzi, proponante altan rendimenton kaj aplikaĵon por ajna laborkvanto, kiun vi elektas funkcii en la nubo. Ni kredas, ke vi ne devas kompromisi pri uzebleco, fleksebleco, rendimento kaj sekureco.
Kun Konfidencaj VM-oj enirantaj beta, ni estas la unua grava nuba provizanto se temas pri oferti ĉi tiun nivelon de sekureco kaj izolado—kaj provizi klientojn per simpla, facile uzebla opcio por kaj novaj aplikoj kaj "portitaj" tiajn (verŝajne pri aplikoj kiuj povas funkcii en la nubo sen gravaj ŝanĝoj, ĉ. tradukisto). Ni provizas:
Nekomparebla privateco: Klientoj povas protekti la privatecon de siaj sentemaj datumoj en la nubo, eĉ dum ĝi estas prilaborata. Konfidencaj VM-oj utiligas la funkcion de Secure Encrypted Virtualization (SEV) de la duageneraciaj AMD EPYC-procesoroj. Viaj datumoj restas ĉifritaj dum uzo, indeksado, demandado kaj trejnado. Ĉifradŝlosiloj estas kreitaj en la aparataro aparte por ĉiu virtuala maŝino kaj neniam forlasas la aparataron.
Plibonigita Novigado: Konfidenca komputado povas malfermi prilaborajn scenarojn, kiuj antaŭe ne eblis. Firmaoj nun povas dividi klasigitajn datumajn arojn kaj kunlabori pri esplorado en la nubo konservante sekretecon.
Privateco por Portitaj Laborŝarĝoj: Nia celo estas simpligi konfidencan komputadon. La transiro al Konfidencaj VM-oj estas senjunta - ĉiuj laborŝarĝoj en GCP funkcianta en virtualaj maŝinoj povas migri al Konfidencaj VM-oj. Ĝi estas simpla - nur marku unu skatolon.
Altnivela Minaca Protekto: Konfidenca komputado baziĝas sur la protekto de Ŝirmita VM-oj kontraŭ rootkits kaj bootkits, helpante certigi la integrecon de la operaciumo elektita por funkcii en la Konfidenca VM.
Bazoj de Konfidencaj VMs
Konfidencaj VM-oj funkcias per virtualaj maŝinoj N2D, kiuj funkcias per procesoroj AMD EPYC de dua generacio. La SEV-trajto de AMD liveras altan rendimenton en plej postulemaj komputikaj laborkvantoj konservante virtualan maŝinan RAM ĉifrita per po-VM-ŝlosilo generita kaj administrita de la EPYC-procesoro. La ŝlosiloj estas kreitaj de la kunprocesoro AMD Secure Processor kiam la virtuala maŝino estas kreita kaj situas ekskluzive en ĝi, kio faras ilin nealireblaj por kaj Guglo kaj aliaj virtualaj maŝinoj kurantaj sur la sama nodo.
Aldone al enkonstruita aparatara ĉifrado de RAM, ni konstruas Konfidencajn virtualajn maŝinojn sur Ŝirmitajn virtualajn maŝinojn por certigi, ke la operaciuma bildo estas kontraŭŝanĝebla kaj por kontroli la integrecon de firmvaro, kernaj duumaĵoj kaj peliloj. La ofertitaj bildoj de Google inkluzivas Ubuntu 18.04, Ubuntu 20.04, Kontenera Optimumigita OS (COS v81) kaj RHEL 8.2. Ni laboras pri Centos, Debian kaj aliaj por proponi aliajn bildojn de operaciumoj.
Ni ankaŭ laboras proksime kun la teamo de inĝenierado de AMD Cloud Solution por certigi, ke ĉifrado de memoro de virtuala maŝina ne influas rendimenton. Ni aldonis subtenon por novaj OSS-ŝoforoj (nvme kaj gvnic) por trakti stokadpetojn kaj rettrafikon je pli alta trafluo ol pli malnovaj protokoloj. Ĉi tio ebligis kontroli, ke la agado-indikiloj de Konfidencaj VMs estas proksimaj al tiuj de regulaj virtualaj maŝinoj.
Sekura Ĉifrita Virtualigo, konstruita en la dua generacio de AMD EPYC-procesoroj, disponigas novigan aparatan sekurecan funkcion, kiu helpas protekti datumojn en virtualigita medio. Por subteni la novajn GCE Konfidencajn VMs N2D, ni laboris kun Google por helpi klientojn protekti iliajn datumojn kaj certigi la agadon de iliaj laborŝarĝoj. Ni tre ĝojas vidi, ke Konfidencaj VM-oj liveras la saman nivelon de alta rendimento tra laborŝarĝoj kiel tipaj N2D-VM-oj.
Raghu Nambiar, Vicprezidanto, Data Center Ecosystem, AMD
Ludo Ŝanĝa Teknologio
Konfidenca komputado povas helpi ŝanĝi la manieron kiel entreprenoj prilaboras datumojn en la nubo konservante privatecon kaj sekurecon. Ankaŭ, inter aliaj avantaĝoj, kompanioj povos kunlabori sen endanĝerigi la sekretecon de datumaj aroj. Tia kunlaboro, siavice, povas konduki al la evoluo de eĉ pli transformaj teknologioj kaj ideoj, kiel ekzemple la kapablo rapide krei vakcinojn kaj trakti malsanojn kiel rezulto de tia sekura kunlaboro.
Ni ne povas atendi vidi la ŝancojn, kiujn ĉi tiu teknologio malfermas por via kompanio. Rigardu por ekscii pli.
PS Ne por la unua fojo, kaj espereble ne la lasta, Guglo lanĉas teknologion, kiu ŝanĝas la mondon. Kiel okazis kun Kubernetes sufiĉe lastatempe. Ni subtenas kaj distribuas Goggle-teknologiojn laŭ nia eblo kaj trejnas IT-specialistojn en Rusio. Nia kompanio estas unu el 3 Kubernetes Atestita Servoprovizanto kaj la sola Kubernetes Trejnadpartnero en Rusujo. Tial ni faras intensajn trejnajn sesiojn de Kubernetes ĉiun printempon kaj aŭtunon. La venontaj intensaj kursoj okazos la 28-30-an de septembro kaj 14–16 oktobro .
fonto: www.habr.com
