Usume Google'is, et pilvandmetöötluse tulevik nihkub üha enam privaatsete krüptitud teenuste poole, mis annavad kasutajatele täieliku kindlustunde oma andmete privaatsuses.
Google Cloud krüpteerib juba edastamisel ja puhkeolekus olevaid kliendiandmeid, kuid need tuleb töötlemiseks siiski dekrüpteerida. Konfidentsiaalne andmetöötlus on revolutsiooniline tehnoloogia, mida kasutatakse andmete krüpteerimiseks töötlemise ajal. Konfidentsiaalsed andmetöötluskeskkonnad võimaldavad salvestada krüpteeritud andmeid RAM-i ja muudesse kohtadesse väljaspool protsessorit (CPU).
Confidential VMs on praegu beetatestimisel ja on esimene toode Google Cloud Confidential Computing sarjas. Juba praegu kasutame oma pilveinfrastruktuuris erinevaid isolatsiooni- ja liivakastitehnikaid, et tagada mitme rentniku arhitektuuri turvalisus. Konfidentsiaalsed virtuaalsed masinad viivad turvalisuse järgmisele tasemele, pakkudes mälusisest krüptimist, et isoleerida veelgi oma töökoormust pilves, aidates meie klientidel tundlikke andmeid kaitsta. Arvame, et see pakub erilist huvi neile, kes töötavad reguleeritud tööstusharudes (võib-olla seoses GDPR-i ja muude sellega seotud asjadega, u. tõlkija).
Uute võimaluste avamine
Juba koos konfidentsiaalse andmetöötluse avatud lähtekoodiga platvormiga Asylo oleme keskendunud konfidentsiaalsete andmetöötluskeskkondade hõlpsaks juurutamiseks ja kasutamiseks muutmisele, pakkudes suure jõudlusega ja rakendusi mis tahes töökoormuse jaoks, mille valite pilves käitamiseks. Usume, et te ei pea tegema järeleandmisi kasutatavuse, paindlikkuse, jõudluse ja turvalisuse osas.
Kuna konfidentsiaalsed VM-id sisenevad beetaversiooni, oleme esimene suurem pilveteenuse pakkuja, kes pakub sellist turvalisuse ja isolatsiooni taset ning pakub klientidele lihtsat ja hõlpsasti kasutatavat valikut nii uute kui ka „portitud” rakenduste jaoks (tõenäoliselt rakenduste puhul, mis saab käivitada pilves ilma oluliste muudatusteta, u. tõlkija). Me varustame:
-
Võrratu privaatsus: kliendid saavad kaitsta oma tundlike andmete privaatsust pilves isegi nende töötlemise ajal. Konfidentsiaalsed virtuaalarvutid kasutavad teise põlvkonna AMD EPYC protsessorite turvalise krüptitud virtualiseerimise (SEV) funktsiooni. Teie andmed jäävad kasutamise, indekseerimise, päringute tegemise ja koolituse ajal krüpteerituks. Krüpteerimisvõtmed luuakse riistvaras iga virtuaalmasina jaoks eraldi ja need ei lahku kunagi riistvarast.
-
Täiustatud innovatsioon: konfidentsiaalne andmetöötlus võib avada töötlemisstsenaariume, mis varem polnud võimalikud. Ettevõtted saavad nüüd jagada salastatud andmekogumeid ja teha pilves uurimistööd, säilitades samal ajal saladuse.
-
Teisaldatud töökoormuste privaatsus: meie eesmärk on lihtsustada konfidentsiaalset andmetöötlust. Konfidentsiaalsetele VM-idele üleminek on sujuv – kõik virtuaalmasinates töötava GCP töökoormused võivad migreeruda konfidentsiaalsetele VM-idele. See on lihtne – lihtsalt märkige üks ruut.
-
Täiustatud ohukaitse: konfidentsiaalne andmetöötlus tugineb varjestatud VM-ide kaitsele juurkomplektide ja alglaadimiskomplektide eest, aidates tagada konfidentsiaalses VM-is käitamiseks valitud operatsioonisüsteemi terviklikkuse.
Konfidentsiaalsete VM-ide põhitõed
Konfidentsiaalsed VM-id töötavad N2D virtuaalmasinatel, mis töötavad teise põlvkonna AMD EPYC protsessoritel. AMD SEV-funktsioon tagab suure jõudluse kõige nõudlikuma arvutustöö korral, hoides virtuaalmasina RAM-i krüpteerituna VM-i võtmega, mille genereerib ja haldab EPYC-protsessor. Võtmed loob virtuaalmasina loomisel AMD Secure Processor kaasprotsessor ja need asuvad ainult selles, mis muudab need ligipääsmatuks nii Google'ile kui ka teistele samas sõlmes töötavatele virtuaalmasinatele.
Lisaks sisseehitatud riistvaralise RAM-i krüptimisele ehitame varjestatud VM-idele peale konfidentsiaalseid VM-e, et pakkuda operatsioonisüsteemi kujutisele võltsimiskindlust, kontrollides püsivara, kerneli binaarfailide ja draiverite terviklikkust. Google'i pakutavate piltide hulka kuuluvad Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) ja RHEL 8.2. Töötame Centose, Debiani ja teiste kallal, et pakkuda muid operatsioonisüsteemi kujutisi.
Teeme tihedat koostööd ka AMD Cloud Solutioni insenerimeeskonnaga tagamaks, et virtuaalmasina mälu krüptimine ei mõjuta jõudlust. Oleme lisanud uute OSS-draiverite (nvme ja gvnic) toe, et käsitleda salvestuspäringuid ja võrguliiklust suurema läbilaskevõimega kui vanemad protokollid. See võimaldas kontrollida, kas konfidentsiaalsete VM-ide jõudlusnäitajad on tavaliste virtuaalmasinate omadele lähedased.
Turvaline krüpteeritud virtualiseerimine, mis on sisse ehitatud teise põlvkonna AMD EPYC protsessoritesse, pakub uuenduslikku riistvaralist turvafunktsiooni, mis aitab kaitsta andmeid virtualiseeritud keskkonnas. Uute GCE konfidentsiaalsete VM-ide N2D toetamiseks tegime Google'iga koostööd, et aidata klientidel oma andmeid kaitsta ja töökoormuse toimivust tagada. Meil on väga hea meel näha, et konfidentsiaalsed VM-id pakuvad töökoormuste lõikes sama suurt jõudlust kui tavalised N2D-VM-id.
Raghu Nambiar, AMD andmekeskuste ökosüsteemi asepresident
Mängu muutmise tehnoloogia
Konfidentsiaalne andmetöötlus võib aidata muuta viisi, kuidas ettevõtted andmeid pilves töötlevad, säilitades samal ajal privaatsuse ja turvalisuse. Lisaks muudele eelistele saavad ettevõtted koostööd teha, ilma et see kahjustaks andmekogumite saladust. Selline koostöö võib omakorda viia veelgi transformatiivsemate tehnoloogiate ja ideede väljatöötamiseni, näiteks võime sellise turvalise koostöö tulemusena kiiresti luua vaktsiine ja ravida haigusi.
Me ei jõua ära oodata, millal näeme võimalusi, mida see tehnoloogia teie ettevõttele avab. Vaata et rohkem teada saada.
PS Mitte esimest korda ja loodetavasti mitte viimast, Google toob välja tehnoloogia, mis muudab maailma. Nagu juhtus hiljuti Kubernetesega. Toetame ja levitame Goggle'i tehnoloogiaid oma võimaluste piires ning koolitame Venemaal IT-spetsialiste. Meie ettevõte on üks 3-st Kubernetese sertifitseeritud teenusepakkuja ja ainuke Kubernetese koolituspartner Venemaal. Seetõttu viime igal kevadel ja sügisel läbi intensiivseid Kubernetese koolitusi. Järgmised intensiivkursused toimuvad 28.-30.septembril ja 14.–16. oktoober .
Allikas: www.habr.com