En Google, creemos que el futuro de la computación en la nube se desplazará cada vez más hacia servicios privados y cifrados que brinden a los usuarios total confianza en la privacidad de sus datos.
Google Cloud ya cifra los datos de los clientes en tránsito y en reposo, pero aún es necesario descifrarlos para poder procesarlos. Computación confidencial es una tecnología revolucionaria que se utiliza para cifrar datos durante el procesamiento. Los entornos informáticos confidenciales le permiten almacenar datos cifrados en la RAM y otros lugares fuera del procesador (CPU).
Confidential VMs se encuentra actualmente en prueba beta y es el primer producto de la línea Google Cloud Confidential Computing. Ya utilizamos varias técnicas de aislamiento y sandboxing en nuestra infraestructura de nube para garantizar la seguridad de una arquitectura multiinquilino. Las máquinas virtuales confidenciales llevan la seguridad al siguiente nivel al ofrecer cifrado en memoria para aislar aún más sus cargas de trabajo en la nube, ayudando a nuestros clientes a proteger datos confidenciales. Creemos que esto será de particular interés para quienes trabajan en industrias reguladas (quizás sobre GDPR y otras cosas relacionadas, aprox. traductor).
Abriendo nuevas posibilidades
Ya con Asylo, la plataforma de código abierto para informática confidencial, nos hemos centrado en hacer que los entornos informáticos confidenciales sean fáciles de implementar y usar, ofreciendo alto rendimiento y aplicaciones para cualquier carga de trabajo que elija ejecutar en la nube. Creemos que no es necesario comprometer la usabilidad, la flexibilidad, el rendimiento y la seguridad.
Con las máquinas virtuales confidenciales entrando en versión beta, somos el primer proveedor importante de nube que ofrece este nivel de seguridad y aislamiento, y brinda a los clientes una opción simple y fácil de usar tanto para aplicaciones nuevas como para aplicaciones "portadas" (probablemente sobre aplicaciones que se puede ejecutar en la nube sin cambios significativos, aprox. traductor). Proporcionamos:
-
Privacidad inigualable: los clientes pueden proteger la privacidad de sus datos confidenciales en la nube, incluso mientras se procesan. Las máquinas virtuales confidenciales aprovechan la función Secure Encrypted Virtualization (SEV) de los procesadores AMD EPYC de segunda generación. Sus datos permanecen cifrados durante el uso, la indexación, las consultas y la capacitación. Las claves de cifrado se crean en el hardware por separado para cada máquina virtual y nunca salen del hardware.
-
Innovación mejorada: la informática confidencial puede abrir escenarios de procesamiento que antes no eran posibles. Las empresas ahora pueden compartir conjuntos de datos clasificados y colaborar en investigaciones en la nube manteniendo el secreto.
-
Privacidad para cargas de trabajo trasladadas: nuestro objetivo es simplificar la informática confidencial. La transición a máquinas virtuales confidenciales es perfecta: todas las cargas de trabajo de GCP que se ejecutan en máquinas virtuales pueden migrar a máquinas virtuales confidenciales. Es simple: solo marque una casilla.
-
Protección avanzada contra amenazas: la informática confidencial se basa en la protección de las máquinas virtuales blindadas contra rootkits y bootkits, lo que ayuda a garantizar la integridad del sistema operativo seleccionado para ejecutarse en la máquina virtual confidencial.
Conceptos básicos de las máquinas virtuales confidenciales
Las máquinas virtuales confidenciales se ejecutan en máquinas virtuales N2D que se ejecutan en procesadores AMD EPYC de segunda generación. La función SEV de AMD ofrece un alto rendimiento en las cargas de trabajo informáticas más exigentes y, al mismo tiempo, mantiene cifrada la RAM de la máquina virtual con una clave por VM generada y administrada por el procesador EPYC. Las claves son creadas por el coprocesador AMD Secure Processor cuando se crea la máquina virtual y se encuentran exclusivamente en ella, lo que las hace inaccesibles tanto para Google como para otras máquinas virtuales que se ejecutan en el mismo nodo.
Además del cifrado de RAM de hardware integrado, creamos máquinas virtuales confidenciales sobre máquinas virtuales protegidas para proporcionar imágenes del sistema operativo a prueba de manipulaciones, comprobaciones de integridad del firmware, archivos binarios del kernel y controladores. Las imágenes ofrecidas por Google incluyen Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) y RHEL 8.2. Estamos trabajando en Centos, Debian y otros para ofrecer otras imágenes de sistemas operativos.
También trabajamos estrechamente con el equipo de ingeniería de AMD Cloud Solution para garantizar que el cifrado de la memoria de la máquina virtual no afecte el rendimiento. Agregamos soporte para nuevos controladores OSS (nvme y gvnic) para manejar solicitudes de almacenamiento y tráfico de red con un rendimiento mayor que los protocolos más antiguos. Esto permitió verificar que los indicadores de rendimiento de las VM Confidential son similares a los de las máquinas virtuales normales.
La virtualización cifrada segura, integrada en la segunda generación de procesadores AMD EPYC, proporciona una característica de seguridad de hardware innovadora que ayuda a proteger los datos en un entorno virtualizado. Para admitir las nuevas máquinas virtuales N2D de GCE Confidential, trabajamos con Google para ayudar a los clientes a proteger sus datos y garantizar el rendimiento de sus cargas de trabajo. Estamos muy contentos de ver que las máquinas virtuales Confidential ofrecen el mismo nivel de alto rendimiento en todas las cargas de trabajo que las máquinas virtuales N2D típicas.
Raghu Nambiar, vicepresidente, ecosistema de centro de datos, AMD
Tecnología que cambia las reglas del juego
La informática confidencial puede ayudar a cambiar la forma en que las empresas procesan los datos en la nube manteniendo al mismo tiempo la privacidad y la seguridad. Además, entre otros beneficios, las empresas podrán trabajar juntas sin comprometer el secreto de los conjuntos de datos. Esa colaboración, a su vez, puede conducir al desarrollo de tecnologías e ideas aún más transformadoras, como la capacidad de crear rápidamente vacunas y tratar enfermedades como resultado de esa colaboración segura.
Estamos ansiosos por ver las oportunidades que abre esta tecnología para su empresa. Mirar Para saber más.
PS No es la primera vez, y esperemos que no sea la última, Google lanza una tecnología que cambia el mundo. Como ocurrió con Kubernetes hace muy poco tiempo. Apoyamos y distribuimos las tecnologías de Goggle lo mejor que podemos y formamos especialistas en TI en Rusia. Nuestra empresa es una de las 3 Proveedor de servicios certificado de Kubernetes y el único Socio de formación de Kubernetes En Rusia. Es por eso que llevamos a cabo sesiones intensivas de capacitación sobre Kubernetes cada primavera y otoño. Los próximos cursos intensivos se realizarán del 28 al 30 de septiembre y del 14 al 16 de octubre .
Fuente: habr.com