TL; DR: Nüüd saate Kubernetese käivitada Google'ilt.
Google täna (08.09.2020/XNUMX/XNUMX, u. tõlkija) üritusel teatas oma tootesarja laiendamisest koos uue teenuse käivitamisega.
Konfidentsiaalsed GKE sõlmed lisavad Kubernetesis töötavatele töökoormustele rohkem privaatsust. Juulis tuli turule esimene toode nimega , ja täna on need virtuaalmasinad juba kõigile avalikult kättesaadavad.
Confidential Computing on uus toode, mis hõlmab andmete salvestamist krüpteeritud kujul nende töötlemise ajal. See on andmete krüpteerimisahela viimane lüli, kuna pilveteenuse pakkujad juba krüpteerivad andmeid sisse ja välja. Kuni viimase ajani oli vaja andmeid dekrüpteerida nii, nagu neid töödeldakse, ja paljud eksperdid näevad selles andmete krüptimise valdkonnas silmatorkavat auku.
Google'i konfidentsiaalse andmetöötluse algatus põhineb koostööl Confidential Computing Consortium'iga, tööstusrühmaga, mis edendab usaldusväärsete teostuskeskkondade (TEE) kontseptsiooni. TEE on protsessori turvaline osa, milles laetud andmed ja kood on krüpteeritud, mis tähendab, et sellele infole ei pääse ligi sama protsessori teised osad.
Google'i konfidentsiaalsed VM-id töötavad N2D-virtuaalmasinatel, mis töötavad AMD teise põlvkonna EPYC-protsessoritel, mis kasutavad turvalise krüptitud virtualiseerimise tehnoloogiat, et isoleerida virtuaalmasinad hüperviisorist, millel need töötavad. Garantii on, et andmed jäävad krüpteerituks sõltumata nende kasutamisest: töökoormused, analüütika, tehisintellekti koolitusmudelite päringud. Need virtuaalsed masinad on loodud vastama iga ettevõtte vajadustele, kes käitlevad tundlikke andmeid reguleeritud valdkondades, näiteks panganduses.
Võib-olla pakilisem on teade konfidentsiaalsete GKE sõlmede eelseisvast beetatestimisest, mida Google'i sõnul tutvustatakse eelseisvas versioonis 1.18 (GKE). GKE on hallatav tootmisvalmis keskkond konteinerite käitamiseks, mis majutavad tänapäevaste rakenduste osi, mida saab käitada mitmes arvutuskeskkonnas. Kubernetes on avatud lähtekoodiga orkestreerimistööriist, mida kasutatakse nende konteinerite haldamiseks.
Konfidentsiaalsete GKE sõlmede lisamine tagab GKE klastrite käitamisel suurema privaatsuse. Konfidentsiaalse andmetöötluse sarjale uue toote lisamisel soovisime pakkuda uuel tasemel
privaatsus ja teisaldatavus konteinerite töökoormuste jaoks. Google'i konfidentsiaalsed GKE sõlmed on üles ehitatud samale tehnoloogiale nagu konfidentsiaalsed virtuaalsed masinad, võimaldades teil krüpteerida mälus olevaid andmeid, kasutades sõlmespetsiifilist krüpteerimisvõtit, mille genereerib ja haldab AMD EPYC protsessor. Need sõlmed kasutavad riistvarapõhist RAM-i krüptimist, mis põhineb AMD SEV-funktsioonil, mis tähendab, et nendes sõlmedes töötavad töökoormused krüpteeritakse nende töötamise ajal.
Sunil Potti ja Eyali mõis, pilveinsenerid, Google
Konfidentsiaalsetes GKE sõlmedes saavad kliendid konfigureerida GKE klastreid nii, et sõlmekogumid töötavad konfidentsiaalsetes VM-ides. Lihtsamalt öeldes krüpteeritakse kõik nendes sõlmedes töötavad töökoormused andmete töötlemise ajal.
Paljud ettevõtted nõuavad avalike pilveteenuste kasutamisel veelgi rohkem privaatsust kui kohapealse töökoormuse puhul, et kaitsta ründajate eest. Google Cloudi konfidentsiaalse andmetöötluse sarja laiendamine tõstab seda latti, pakkudes kasutajatele võimaluse tagada GKE klastrite jaoks salastatus. Ja arvestades selle populaarsust, on Kubernetes tööstuse jaoks oluline samm edasi, andes ettevõtetele rohkem võimalusi järgmise põlvkonna rakenduste turvaliseks hostimiseks avalikus pilves.
Holger Mueller, Constellation Researchi analüütik.
NB Meie ettevõte käivitab 28.-30.septembril uuendatud intensiivkursuse neile, kes Kubernetest veel ei tunne, aga soovivad sellega tutvust teha ja tööle asuda. Ja pärast seda 14.–16. oktoobril toimuvat üritust käivitame uuendatud Kogenud Kubernetese kasutajatele, kelle jaoks on oluline teada kõiki uusimaid praktilisi lahendusi Kubernetese uusimate versioonidega töötamiseks ja võimalikku “reha”. Peal Analüüsime teoreetiliselt ja praktikas tootmisvalmis klastri paigaldamise ja konfigureerimise keerukust (“the-not-so-easy-way”), mehhanisme, mis tagavad rakenduste turvalisuse ja tõrketaluvuse.
Muuhulgas ütles Google, et selle konfidentsiaalsed VM-id saavad mõned uued funktsioonid, kuna need muutuvad alates tänasest üldiselt kättesaadavaks. Näiteks ilmusid auditiaruanded, mis sisaldasid AMD Secure Processori püsivara terviklikkuse kontrolli üksikasjalikke logisid, mida kasutati võtmete genereerimiseks iga konfidentsiaalse VM-i eksemplari jaoks.
Samuti on rohkem juhtnuppe konkreetsete juurdepääsuõiguste määramiseks ning Google on lisanud ka võimaluse keelata antud projektis mis tahes klassifitseerimata virtuaalmasin. Google ühendab turvalisuse tagamiseks konfidentsiaalseid virtuaalseid masinaid ka teiste privaatsusmehhanismidega.
Saate kasutada tulemüürireeglite ja organisatsioonipoliitika piirangutega jagatud VPC-de kombinatsiooni, et tagada konfidentsiaalsete VM-ide suhtlemine teiste konfidentsiaalsete VM-idega isegi siis, kui need töötavad erinevates projektides. Lisaks saate oma konfidentsiaalsete VM-ide jaoks GCP ressursi ulatuse määramiseks kasutada VPC teenuse juhtelemente.
Sunil Potti ja Eyali mõis
Allikas: www.habr.com