Google امروز (08.09.2020/XNUMX/XNUMX، تقریبا مترجم) در این رویداد Cloud Next OnAir از گسترش خط تولید خود با راه اندازی سرویس جدید خبر داد.
گره های GKE محرمانه حریم خصوصی بیشتری را به بارهای کاری در حال اجرا در Kubernetes اضافه می کنند. در ماه جولای اولین محصول به نام عرضه شد ماشین های مجازی محرمانه، و امروزه این ماشین های مجازی در حال حاضر به صورت عمومی در دسترس همه هستند.
محاسبات محرمانه محصول جدیدی است که شامل ذخیره سازی داده ها به صورت رمزگذاری شده در حین پردازش است. این آخرین پیوند در زنجیره رمزگذاری داده است، زیرا ارائه دهندگان خدمات ابری قبلاً داده ها را در داخل و خارج رمزگذاری می کنند. تا همین اواخر، رمزگشایی دادهها هنگام پردازش ضروری بود و بسیاری از کارشناسان این موضوع را حفرهای آشکار در زمینه رمزگذاری دادهها میدانند.
ابتکار محاسبات محرمانه Google بر اساس همکاری با کنسرسیوم محاسبات محرمانه، یک گروه صنعتی برای ترویج مفهوم محیطهای اجرایی معتمد (TEE) است. TEE بخشی امن از پردازنده است که در آن داده ها و کدهای بارگذاری شده رمزگذاری شده است، به این معنی که این اطلاعات توسط سایر بخش های همان پردازنده قابل دسترسی نیستند.
ماشینهای مجازی محرمانه گوگل روی ماشینهای مجازی N2D اجرا میشوند که روی پردازندههای نسل دوم EPYC AMD کار میکنند، که از فناوری مجازیسازی رمزگذاری شده امن برای جداسازی ماشینهای مجازی از هایپروایزر استفاده میکنند. تضمینی وجود دارد که داده ها بدون توجه به استفاده از آن رمزگذاری می شوند: حجم کار، تجزیه و تحلیل، درخواست مدل های آموزشی برای هوش مصنوعی. این ماشینهای مجازی برای پاسخگویی به نیازهای هر شرکتی طراحی شدهاند که دادههای حساس را در مناطق تحت نظارت مانند صنعت بانکداری مدیریت میکند.
شاید مهم تر، اعلام آزمایش بتا آتی گره های Confidential GKE باشد که گوگل می گوید در نسخه 1.18 آینده معرفی خواهد شد. موتور Google Kubernetes (GKE). GKE یک محیط مدیریت شده و آماده تولید برای اجرای کانتینرهایی است که میزبان بخش هایی از برنامه های کاربردی مدرن است که می توانند در چندین محیط محاسباتی اجرا شوند. Kubernetes یک ابزار ارکستراسیون منبع باز است که برای مدیریت این کانتینرها استفاده می شود.
افزودن گرههای GKE محرمانه، حریم خصوصی بیشتری را هنگام اجرای خوشههای GKE فراهم میکند. هنگام افزودن یک محصول جدید به خط محاسبات محرمانه، می خواستیم سطح جدیدی از آن را ارائه دهیم
حریم خصوصی و قابلیت حمل برای بارهای کاری کانتینری. گرههای GKE محرمانه Google بر اساس فناوری مشابه ماشینهای مجازی محرمانه ساخته شدهاند و به شما این امکان را میدهند که دادهها را در حافظه با استفاده از یک کلید رمزگذاری مخصوص گره که توسط پردازنده AMD EPYC تولید و مدیریت میشود، رمزگذاری کنید. این گرهها از رمزگذاری رم مبتنی بر سختافزار بر اساس ویژگی SEV AMD استفاده میکنند، به این معنی که بارهای کاری شما که روی این گرهها اجرا میشوند، در حین اجرا رمزگذاری میشوند.
Sunil Potti و Eyal Manor، Cloud Engineers، Google
در گرههای GKE محرمانه، مشتریان میتوانند خوشههای GKE را طوری پیکربندی کنند که استخرهای گره روی ماشینهای مجازی محرمانه اجرا شوند. به زبان ساده، هر بار کاری که روی این گره ها اجرا می شود، در حین پردازش داده ها رمزگذاری می شود.
بسیاری از شرکتها هنگام استفاده از سرویسهای ابری عمومی به حفظ حریم خصوصی بیشتری نسبت به بارهای کاری درون محل که در محل اجرا میشوند برای محافظت در برابر مهاجمان نیاز دارند. توسعه خط محاسبات محرمانه Google Cloud با فراهم کردن قابلیت رازداری برای خوشههای GKE به کاربران، این نوار را افزایش میدهد. و با توجه به محبوبیت آن، Kubernetes یک گام کلیدی به جلو برای صنعت است که به شرکت ها گزینه های بیشتری برای میزبانی ایمن برنامه های نسل بعدی در ابر عمومی می دهد.
هولگر مولر، تحلیلگر در Constellation Research.
NB شرکت ما یک دوره فشرده به روز شده را در تاریخ 28-30 سپتامبر راه اندازی می کند پایگاه کوبرنتیس برای کسانی که هنوز Kubernetes را نمی شناسند، اما می خواهند با آن آشنا شوند و شروع به کار کنند. و پس از این رویداد در 14 تا 16 اکتبر، ما در حال راه اندازی به روز رسانی هستیم Kubernetes Mega برای کاربران با تجربه Kubernetes که برای آنها مهم است که همه آخرین راه حل های عملی را در کار با آخرین نسخه های Kubernetes و "rake" ممکن بدانند. بر Kubernetes Mega ما در تئوری و عملی پیچیدگیهای نصب و پیکربندی یک خوشه آماده تولید ("راه نه چندان آسان")، مکانیسمهایی برای اطمینان از امنیت و تحمل خطا در برنامهها را تحلیل خواهیم کرد.
در میان چیزهای دیگر، گوگل اعلام کرد که ماشین های مجازی محرمانه آن از امروز ویژگی های جدیدی را به دست خواهند آورد. به عنوان مثال، گزارشهای حسابرسی حاوی گزارشهای دقیقی از بررسی یکپارچگی میانافزار پردازنده امن AMD که برای تولید کلید برای هر نمونه از ماشینهای مجازی محرمانه استفاده میشود، ظاهر شد.
همچنین کنترلهای بیشتری برای تنظیم حقوق دسترسی خاص وجود دارد، و Google همچنین توانایی غیرفعال کردن هر ماشین مجازی طبقهبندینشده را در یک پروژه خاص اضافه کرده است. گوگل همچنین ماشین های مجازی محرمانه را با مکانیسم های حفظ حریم خصوصی دیگر برای تامین امنیت متصل می کند.
میتوانید از ترکیبی از VPCهای مشترک با قوانین فایروال و محدودیتهای خطمشی سازمان استفاده کنید تا اطمینان حاصل کنید که VMهای محرمانه میتوانند با سایر ماشینهای مجازی محرمانه ارتباط برقرار کنند، حتی اگر در پروژههای مختلف در حال اجرا باشند. علاوه بر این، میتوانید از کنترلهای سرویس VPC برای تنظیم محدوده منبع GCP برای ماشینهای مجازی محرمانه خود استفاده کنید.