در Google، ما معتقدیم که آینده محاسبات ابری به طور فزاینده ای به سمت سرویس های خصوصی و رمزگذاری شده تغییر خواهد کرد که به کاربران اطمینان کامل از حریم خصوصی داده هایشان می دهد.
Google Cloud قبلاً دادههای مشتری را در حین حمل و نقل و در حالت استراحت رمزگذاری میکند، اما هنوز برای پردازش باید رمزگشایی شود. محاسبه محرمانه یک فناوری انقلابی است که برای رمزگذاری داده ها در حین پردازش استفاده می شود. محیط های محاسباتی محرمانه به شما این امکان را می دهد که داده های رمزگذاری شده را در RAM و سایر مکان های خارج از پردازنده (CPU) ذخیره کنید.
ماشین مجازی محرمانه در حال حاضر در مرحله آزمایش بتا است و اولین محصول در خط محاسبات محرمانه Google Cloud است. ما در حال حاضر از تکنیکهای مختلف جداسازی و سندباکس در زیرساختهای ابری خود برای اطمینان از امنیت معماری چند مستاجر استفاده میکنیم. VMهای محرمانه با ارائه رمزگذاری در حافظه برای جداسازی بیشتر بارهای کاری خود در فضای ابری، امنیت را به سطح بعدی ارتقا میدهند و به مشتریان ما کمک میکنند از دادههای حساس محافظت کنند. ما فکر میکنیم که این مورد برای کسانی که در صنایع تحت نظارت کار میکنند (شاید در مورد GDPR و سایر موارد مرتبط) جالب باشد، تقریبا مترجم).
گشودن امکانات جدید
در حال حاضر با Asylo، پلتفرم منبع باز برای محاسبات محرمانه، ما بر روی ایجاد محیطهای محاسباتی محرمانه برای استقرار و استفاده آسان تمرکز کردهایم و عملکرد و کاربرد بالایی را برای هر حجم کاری که برای اجرا در ابر انتخاب میکنید ارائه میکنیم. ما معتقدیم که لازم نیست در مورد قابلیت استفاده، انعطاف پذیری، عملکرد و امنیت به خطر بیفتید.
با ورود ماشینهای مجازی محرمانه به نسخه بتا، ما اولین ارائهدهنده بزرگ ابری هستیم که این سطح از امنیت و انزوا را ارائه میکنیم – و به مشتریان گزینهای ساده و با کاربری آسان برای برنامههای جدید و برنامههای «پورتشده» (احتمالاً در مورد برنامههایی که می تواند در فضای ابری بدون تغییرات قابل توجه اجرا شود، تقریبا مترجم). ما فراهم می کنیم:
-
حریم خصوصی بی بدیل: مشتریان می توانند از حریم خصوصی داده های حساس خود در فضای ابری محافظت کنند، حتی زمانی که آنها در حال پردازش هستند. ماشین های مجازی محرمانه از ویژگی مجازی سازی رمزگذاری شده امن (SEV) پردازنده های نسل دوم AMD EPYC استفاده می کنند. داده های شما در طول استفاده، نمایه سازی، پرس و جو و آموزش رمزگذاری می شوند. کلیدهای رمزگذاری به طور جداگانه برای هر ماشین مجازی در سخت افزار ایجاد می شوند و هرگز سخت افزار را ترک نمی کنند.
-
نوآوری بهبود یافته: محاسبات محرمانه می تواند سناریوهای پردازشی را که قبلاً امکان پذیر نبودند را باز کند. شرکتها اکنون میتوانند مجموعه دادههای طبقهبندی شده را به اشتراک بگذارند و در تحقیقات در فضای ابری با حفظ رازداری همکاری کنند.
-
حریم خصوصی برای بارهای کاری منتقل شده: هدف ما ساده کردن محاسبات محرمانه است. انتقال به ماشینهای مجازی محرمانه یکپارچه است - همه بارهای کاری در GCP که در ماشینهای مجازی اجرا میشوند، میتوانند به ماشینهای مجازی محرمانه منتقل شوند. ساده است - فقط یک کادر را علامت بزنید.
-
حفاظت از تهدیدات پیشرفته: محاسبات محرمانه مبتنی بر محافظت از ماشین های مجازی محافظت شده در برابر روت کیت ها و بوت کیت ها است و به اطمینان از یکپارچگی سیستم عامل انتخاب شده برای اجرا در ماشین مجازی محرمانه کمک می کند.
مبانی ماشین های مجازی محرمانه
ماشین های مجازی محرمانه روی ماشین های مجازی N2D اجرا می شوند که روی پردازنده های نسل دوم AMD EPYC کار می کنند. ویژگی SEV AMD عملکرد بالایی را در بیشتر بارهای کاری محاسباتی ارائه می دهد و در عین حال RAM ماشین مجازی را با یک کلید هر VM که توسط پردازنده EPYC تولید و مدیریت می شود رمزگذاری می کند. هنگامی که ماشین مجازی ایجاد میشود، کلیدها توسط همپردازنده پردازنده امن AMD ایجاد میشوند و به طور انحصاری در آن قرار میگیرند، که باعث میشود Google و سایر ماشینهای مجازی که روی همان گره کار میکنند، غیرقابل دسترسی باشند.
علاوه بر رمزگذاری سختافزار RAM داخلی، ما ماشینهای مجازی محرمانه را در بالای ماشینهای مجازی محافظتشده میسازیم تا تصاویر سیستمعامل مقاوم در برابر دستکاری، بررسی یکپارچگی سیستمافزار، باینریهای هسته و درایورها را ارائه کنیم. تصاویر ارائه شده توسط گوگل شامل Ubuntu 18.04، Ubuntu 20.04، Container Optimized OS (COS v81) و RHEL 8.2 است. ما روی Centos، Debian و دیگران کار می کنیم تا تصاویر سیستم عامل دیگر را ارائه دهیم.
ما همچنین با تیم مهندسی AMD Cloud Solution همکاری نزدیک داریم تا اطمینان حاصل کنیم که رمزگذاری حافظه ماشین مجازی بر عملکرد تأثیر نمی گذارد. ما پشتیبانی از درایورهای OSS جدید (nvme و gvnic) اضافه کردهایم تا درخواستهای ذخیرهسازی و ترافیک شبکه را با توان عملیاتی بالاتر نسبت به پروتکلهای قدیمیتر مدیریت کنیم. این امر امکان بررسی نزدیک بودن شاخص های عملکرد ماشین های مجازی محرمانه به ماشین های مجازی معمولی را فراهم کرد.
مجازیسازی رمزگذاریشده امن، که در نسل دوم پردازندههای AMD EPYC تعبیه شده است، یک ویژگی امنیتی سختافزاری نوآورانه را ارائه میکند که به محافظت از دادهها در یک محیط مجازی کمک میکند. برای پشتیبانی از ماشینهای مجازی محرمانه جدید GCE N2D، با Google کار کردیم تا به مشتریان کمک کنیم از دادههایشان محافظت کنند و از عملکرد بارهای کاری خود اطمینان حاصل کنند. ما بسیار خوشحالیم که میبینیم ماشینهای مجازی محرمانه همان سطح کارایی بالا را در سرتاسر حجم کاری ماشینهای مجازی N2D معمولی ارائه میدهند.
Raghu Nambiar، معاون رئیس، اکوسیستم مرکز داده، AMD
تکنولوژی تغییر بازی
محاسبات محرمانه میتواند به تغییر نحوه پردازش دادهها در فضای ابری توسط شرکتها و حفظ حریم خصوصی و امنیت کمک کند. همچنین، از جمله مزایای دیگر، شرکت ها قادر خواهند بود بدون به خطر انداختن محرمانه بودن مجموعه داده ها، با یکدیگر همکاری کنند. چنین همکاریهایی به نوبه خود میتواند منجر به توسعه فناوریها و ایدههای دگرگونکنندهتر شود، مانند توانایی ایجاد سریع واکسنها و درمان بیماریها در نتیجه چنین همکاری ایمن.
ما بی صبرانه منتظر فرصت هایی هستیم که این فناوری برای شرکت شما باز می کند. نگاه کن برای کسب اطلاعات بیشتر
PS نه برای اولین بار و نه شاید آخرین بار، گوگل فناوری ای را ارائه می کند که دنیا را تغییر می دهد. همانطور که اخیراً در مورد Kubernetes اتفاق افتاد. ما فناوریهای Goggle را به بهترین شکل ممکن پشتیبانی و توزیع میکنیم و متخصصان فناوری اطلاعات را در روسیه آموزش میدهیم. شرکت ما یکی از 3 شرکت است ارائه دهنده خدمات معتبر Kubernetes و تنها شریک آموزشی Kubernetes در روسیه. به همین دلیل است که ما جلسات آموزشی فشرده Kubernetes را هر بهار و پاییز برگزار می کنیم. دوره های فشرده بعدی 28 الی 30 شهریور برگزار می شود و 14 تا 16 اکتبر .
منبع: www.habr.com