Googlen, uste dugu hodeiko informatikaren etorkizuna gero eta gehiago aldatuko dela zerbitzu pribatu eta enkriptatuetara, erabiltzaileei beren datuen pribatutasunean konfiantza osoa ematen dietenak.
Google Cloud-ek dagoeneko enkriptatzen ditu bezeroen datuak garraioan eta atsedenaldian, baina oraindik deszifratu egin behar dira prozesatu ahal izateko. Isilpeko informatika prozesatzeko garaian datuak enkriptatzeko erabiltzen den teknologia iraultzailea da. Informatika-ingurune isilpekoek RAM eta prozesadoretik (CPU) kanpoko beste leku batzuetan enkriptatutako datuak gordetzeko aukera ematen dute.
Konfidentzial VMs beta probak egiten ari dira eta Google Cloud Confidential Computing lineako lehen produktua da. Dagoeneko hainbat isolamendu eta sandboxing teknika erabiltzen ditugu gure hodeiko azpiegituran maizter anitzeko arkitektura baten segurtasuna bermatzeko. Isilpeko VM-ek segurtasuna hurrengo mailara eramaten dute memorian enkriptatzea eskainiz beren lan-kargak hodeian gehiago isolatzeko, gure bezeroei datu sentikorrak babesten lagunduz. Uste dugu hau bereziki interesgarria izango dela araututako industrietan lan egiten dutenentzat (agian GDPRri eta erlazionatutako beste gauza batzuei buruz, gutxi gorabehera. itzultzailea).
Aukera berriak irekitzea
Dagoeneko Asylo-rekin, isilpeko informatikarako kode irekiko plataformarekin, isilpeko informatika-inguruneak errazago zabaltzeko eta erabiltzeko errazak egitera bideratu gara, hodeian exekutatu nahi duzun edozein lan-kargarako errendimendu eta aplikazio altua eskainiz. Uste dugu ez duzula erabilgarritasuna, malgutasuna, errendimendua eta segurtasuna arriskuan jarri beharrik.
Isilpeko VM-ak beta sartzen ari direnez, segurtasun eta isolamendu maila hau eskaintzen duen lehen hodeiko hornitzaile nagusia gara, eta bezeroei aukera erraz eta erabilerraz bat eskaintzen diegu aplikazio berrietarako zein "portatutako"etarako (seguruenik, aplikazioei buruz). hodeian exekutatu daiteke aldaketa garrantzitsurik gabe, gutxi gorabehera. itzultzailea). Guk ematen dugu:
-
Pribatutasun paregabea: bezeroek beren datu sentikorren pribatutasuna babes dezakete hodeian, prozesatzen ari diren bitartean ere. Isilpeko VMek bigarren belaunaldiko AMD EPYC prozesadoreen Secure Encrypted Virtualization (SEV) funtzioa erabiltzen dute. Zure datuak zifratuta geratzen dira erabileran, indexatzen, kontsultak egiten eta prestakuntzan. Enkriptazio-gakoak hardwarean sortzen dira makina birtual bakoitzeko bereizita eta ez dira inoiz hardwaretik irteten.
-
Berrikuntza hobetua: informatika konfidentzialak lehen posible ez ziren prozesatzeko eszenatokiak ireki ditzake. Enpresek orain sailkatutako datu-multzoak parteka ditzakete eta hodeian ikerketetan kolaboratu dezakete sekretua mantenduz.
-
Lan-karga eramandako pribatutasuna: gure helburua isilpeko informatika erraztea da. Konfidentzial VMetarako trantsizioa ezin hobea da - makina birtualetan exekutatzen diren GCP-ko lan-karga guztiak Konfidentzial VMetara migra daitezke. Erraza da: markatu lauki bat.
-
Mehatxuen babes aurreratua: informatika konfidentzialak babestutako VM-en babesean oinarritzen da rootkit-en eta bootkit-en aurka, eta VM-n exekutatzeko hautatutako sistema eragilearen osotasuna ziurtatzen laguntzen du.
Isilpeko VM-en oinarriak
Isilpeko VM-ak bigarren belaunaldiko AMD EPYC prozesadoreetan exekutatzen diren N2D makina birtualetan exekutatzen dira. AMD-ren SEV funtzioak errendimendu handia ematen du konputazio-lan-karga zorrotzenetan, makina birtualaren RAM EPYC prozesadoreak sortutako eta kudeatutako VM bakoitzeko gako batekin enkriptatutakoa mantentzen duen bitartean. Gakoak AMD Secure Processor koprozesadoreak sortzen ditu makina birtuala sortzen denean eta bertan kokatuta daude esklusiboki, eta horrek ez ditu eskuraezinak nodo berean exekutatzen ari diren Google eta beste makina birtualek.
Hardware RAM enkriptatzeaz gain, VM blindatuen gainean eraikitzen ditugu sistema eragilearen irudiari manipulazio-erresistentzia emateko, firmware, kernel bitarren eta kontrolatzaileen osotasuna egiaztatzeko. Google-k eskaintzen dituen irudien artean daude Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) eta RHEL 8.2. Centos, Debian eta beste batzuetan ari gara lanean beste sistema eragileen irudiak eskaintzeko.
AMD Cloud Solution ingeniaritza taldearekin ere lankidetza estuan lan egiten dugu makina birtualen memoriaren enkriptatzea errendimenduan eraginik ez duela ziurtatzeko. OSS kontrolatzaile berrientzako (nvme eta gvnic) euskarria gehitu dugu biltegiratze-eskaerak eta sareko trafikoa protokolo zaharragoak baino abiadura handiagoan kudeatzeko. Horri esker, egiaztatu ahal izan zen Konfidentzial VM-en errendimendu-adierazleak ohiko makina birtualenetatik hurbil daudela.
Birtualizazio Enkriptatutako Segurua, AMD EPYC prozesadoreen bigarren belaunaldian integratuta, hardwarearen segurtasun-eginbide berritzaile bat eskaintzen du, datuak ingurune birtualizatu batean babesten laguntzen duena. GCE Confidential VMs N2D berria onartzeko, Google-rekin lan egin dugu bezeroei beren datuak babesten eta lan-kargaren errendimendua ziurtatzeko. Oso pozik gaude ikusteaz, Konfidentzial VM-ek N2D VM ohikoen errendimendu altua ematen dutela lan-karga guztietan.
Raghu Nambiar, AMD, Data Center Ecosystemeko presidenteordea
Joko Aldatzen Teknologia
Informatika konfidentzialak enpresek hodeian datuak prozesatzeko modua aldatzen lagun dezake, pribatutasuna eta segurtasuna mantenduz. Gainera, beste abantaila batzuen artean, enpresek elkarrekin lan egin ahal izango dute datu multzoen sekretua arriskuan jarri gabe. Lankidetza horrek, aldi berean, teknologia eta ideia are eraldatzaileagoak garatzea ekar dezake, hala nola lankidetza seguru horren ondorioz txertoak azkar sortzeko eta gaixotasunak tratatzeko gaitasuna.
Ezin dugu itxaron teknologia honek zure enpresarentzat irekitzen dituen aukerak ikusteko. Begira gehiago jakiteko.
PS Ez da lehen aldia, eta, zorionez, azkena ez izatea, Googlek mundua aldatzen duen teknologia zabaltzen du. Duela gutxi Kubernetesekin gertatu den bezala. Goggle teknologiak ahal dugun neurrian onartzen eta banatzen ditugu eta Errusian IT espezialistak prestatzen ditugu. Gure enpresa 3etako bat da Kubernetes zerbitzu-hornitzaile ziurtatua eta bakarra Kubernetes Training Partner Errusian. Horregatik, Kubernetesen prestakuntza saio trinkoak egiten ditugu udaberrian eta udazkenero. Hurrengo ikastaro trinkoak irailaren 28tik 30era izango dira eta urriaren 14tik 16ra .
Iturria: www.habr.com