TL; DR: Ahora puedes ejecutar Kubernetes en de google.
Google hoy (08.09.2020/XNUMX/XNUMX, aprox. traductor) en el evento anunció la ampliación de su línea de productos con el lanzamiento de un nuevo servicio.
Los nodos confidenciales de GKE agregan más privacidad a las cargas de trabajo que se ejecutan en Kubernetes. En julio se lanzó el primer producto llamado , y hoy estas máquinas virtuales ya están disponibles públicamente para todos.
Confidential Computing es un nuevo producto que implica almacenar datos en forma cifrada mientras se procesan. Este es el último eslabón de la cadena de cifrado de datos, ya que los proveedores de servicios en la nube ya cifran la entrada y salida de datos. Hasta hace poco, era necesario descifrar los datos a medida que se procesaban, y muchos expertos ven esto como un agujero evidente en el campo del cifrado de datos.
La Iniciativa de Computación Confidencial de Google se basa en una colaboración con el Consorcio de Computación Confidencial, un grupo industrial para promover el concepto de Entornos de Ejecución Confiables (TEE). TEE es una parte segura del procesador en la que los datos y el código cargados están cifrados, lo que significa que otras partes del mismo procesador no pueden acceder a esta información.
Las máquinas virtuales confidenciales de Google se ejecutan en máquinas virtuales N2D que se ejecutan en procesadores EPYC de segunda generación de AMD, que utilizan la tecnología Secure Encrypted Virtualization para aislar las máquinas virtuales del hipervisor en el que se ejecutan. Existe una garantía de que los datos permanecen cifrados independientemente de su uso: cargas de trabajo, análisis, solicitudes de modelos de entrenamiento para inteligencia artificial. Estas máquinas virtuales están diseñadas para satisfacer las necesidades de cualquier empresa que maneje datos confidenciales en áreas reguladas como la industria bancaria.
Quizás más urgente sea el anuncio de la próxima prueba beta de los nodos Confidential GKE, que según Google se introducirán en la próxima versión 1.18. (GKE). GKE es un entorno administrado y listo para producción para ejecutar contenedores que alojan partes de aplicaciones modernas que se pueden ejecutar en múltiples entornos informáticos. Kubernetes es una herramienta de orquestación de código abierto que se utiliza para gestionar estos contenedores.
Agregar nodos confidenciales de GKE brinda mayor privacidad al ejecutar clústeres de GKE. Al agregar un nuevo producto a la línea de Computación Confidencial, queríamos brindar un nuevo nivel de
Privacidad y portabilidad para cargas de trabajo en contenedores. Los nodos Confidential GKE de Google se basan en la misma tecnología que las máquinas virtuales Confidential, lo que le permite cifrar datos en la memoria utilizando una clave de cifrado específica del nodo generada y administrada por el procesador AMD EPYC. Estos nodos utilizarán cifrado de RAM basado en hardware basado en la función SEV de AMD, lo que significa que las cargas de trabajo que se ejecutan en estos nodos se cifrarán mientras se ejecutan.
Sunil Potti y Eyal Manor, ingenieros de nube, Google
En los nodos de GKE confidencial, los clientes pueden configurar clústeres de GKE para que los grupos de nodos se ejecuten en máquinas virtuales confidenciales. En pocas palabras, cualquier carga de trabajo que se ejecute en estos nodos se cifrará mientras se procesan los datos.
Muchas empresas requieren aún más privacidad cuando utilizan servicios de nube pública que cuando usan cargas de trabajo locales que se ejecutan localmente para protegerse contra los atacantes. La expansión de Google Cloud de su línea Confidential Computing eleva este listón al brindar a los usuarios la capacidad de brindar confidencialidad a los clústeres de GKE. Y dada su popularidad, Kubernetes es un paso clave para la industria, ya que brinda a las empresas más opciones para alojar de forma segura aplicaciones de próxima generación en la nube pública.
Holger Mueller, analista de Constellation Research.
NB Nuestra empresa lanza un curso intensivo actualizado del 28 al 30 de septiembre. para aquellos que aún no conocen Kubernetes, pero quieren familiarizarse con él y empezar a trabajar. Y después de este evento del 14 al 16 de octubre, lanzaremos una actualización para usuarios experimentados de Kubernetes para quienes es importante conocer las últimas soluciones prácticas para trabajar con las últimas versiones de Kubernetes y posibles "rake". En Analizaremos en teoría y en la práctica las complejidades de instalar y configurar un clúster listo para producción ("la manera no tan fácil"), los mecanismos para garantizar la seguridad y la tolerancia a fallas de las aplicaciones.
Entre otras cosas, Google dijo que sus máquinas virtuales confidenciales obtendrán algunas características nuevas a medida que estén disponibles de forma generalizada a partir de hoy. Por ejemplo, aparecieron informes de auditoría que contienen registros detallados de la verificación de integridad del firmware del procesador seguro AMD utilizado para generar claves para cada instancia de máquinas virtuales confidenciales.
También hay más controles para configurar derechos de acceso específicos y Google también ha agregado la capacidad de deshabilitar cualquier máquina virtual no clasificada en un proyecto determinado. Google también conecta las máquinas virtuales confidenciales con otros mecanismos de privacidad para brindar seguridad.
Puede utilizar una combinación de VPC compartidas con reglas de firewall y restricciones de políticas de organización para garantizar que las VM confidenciales puedan comunicarse con otras VM confidenciales, incluso si se ejecutan en proyectos diferentes. Además, puede utilizar los controles de servicio de VPC para establecer el alcance de los recursos de GCP para sus máquinas virtuales confidenciales.
Sunil Potti y Eyal Manor
Fuente: habr.com