TL; DR: Voit nyt käyttää Kubernetesia Googlelta.
Google tänään (08.09.2020/XNUMX/XNUMX, noin kääntäjä) tapahtumassa ilmoitti laajentavansa tuotevalikoimaansa uuden palvelun lanseerauksella.
Luottamukselliset GKE-solmut lisäävät yksityisyyttä Kubernetesissa suoritettaviin työkuormiin. Heinäkuussa lanseerattiin ensimmäinen tuote nimeltä , ja nykyään nämä virtuaalikoneet ovat jo julkisesti kaikkien saatavilla.
Confidential Computing on uusi tuote, joka sisältää tietojen tallentamisen salatussa muodossa niiden käsittelyn aikana. Tämä on viimeinen lenkki tietojen salausketjussa, koska pilvipalveluntarjoajat salaavat jo tiedot sisään ja ulos. Viime aikoihin asti oli välttämätöntä purkaa tietojen salaus sitä mukaa, kun niitä käsiteltiin, ja monet asiantuntijat näkevät tämän räikeänä aukkona tietojen salauksen alalla.
Googlen Confidential Computing Initiative perustuu yhteistyöhön Confidential Computing Consortiumin kanssa, joka on toimialaryhmä, joka edistää luotettujen suoritusympäristöjen (TEE) käsitettä. TEE on prosessorin suojattu osa, jossa ladatut tiedot ja koodi on salattu, mikä tarkoittaa, että saman prosessorin muut osat eivät pääse käsiksi näihin tietoihin.
Googlen luottamukselliset virtuaalikoneet toimivat N2D-virtuaalikoneissa, jotka käyttävät AMD:n toisen sukupolven EPYC-prosessoreja, jotka käyttävät suojattua salattua virtualisointitekniikkaa virtuaalikoneiden eristämiseen hypervisorista, jossa ne toimivat. Takuu on, että tiedot pysyvät salattuina niiden käytöstä riippumatta: työmäärät, analytiikka, tekoälyn koulutusmallien pyynnöt. Nämä virtuaalikoneet on suunniteltu vastaamaan kaikkien arkaluonteisia tietoja säännellyillä alueilla, kuten pankkialalla, käsittelevien yritysten tarpeisiin.
Ehkä kiireellisempi on ilmoitus luottamuksellisten GKE-solmujen tulevasta betatestauksesta, joka Googlen mukaan esitellään tulevassa 1.18-julkaisussa (GKE). GKE on hallittu, tuotantoon valmis ympäristö konttien käyttämiseen, jotka isännöivät osia nykyaikaisista sovelluksista, joita voidaan käyttää useissa laskentaympäristöissä. Kubernetes on avoimen lähdekoodin orkestrointityökalu, jota käytetään näiden säilöjen hallintaan.
Luottamuksellisten GKE-solmujen lisääminen parantaa yksityisyyttä käytettäessä GKE-klustereita. Kun lisäsimme Confidential Computing -linjaan uutta tuotetta, halusimme tarjota uuden tason
yksityisyys ja siirrettävyys konttityökuormille. Googlen luottamukselliset GKE-solmut on rakennettu samalle tekniikalle kuin luottamukselliset virtuaalikoneet, joten voit salata muistissa olevat tiedot solmukohtaisella salausavaimella, jonka AMD EPYC -prosessori luo ja hallitsee. Nämä solmut käyttävät laitteistopohjaista RAM-salausta, joka perustuu AMD:n SEV-ominaisuuteen, mikä tarkoittaa, että näissä solmuissa käynnissä olevat työkuormasi salataan niiden ollessa käynnissä.
Sunil Potti ja Eyal Manor, Cloud Engineers, Google
Luottamuksellisissa GKE-solmuissa asiakkaat voivat määrittää GKE-klustereita niin, että solmuvarastot toimivat luottamuksellisissa virtuaalikoneissa. Yksinkertaisesti sanottuna kaikki näissä solmuissa käynnissä olevat työmäärät salataan, kun tietoja käsitellään.
Monet yritykset vaativat jopa enemmän yksityisyyttä käyttäessään julkisia pilvipalveluita kuin paikallisissa työkuormissa suojautuakseen hyökkääjiä vastaan. Google Cloudin Confidential Computing -linjan laajentaminen nostaa tätä rimaa tarjoamalla käyttäjille mahdollisuuden tarjota GKE-klusterien salassapitoa. Ja kun otetaan huomioon sen suosio, Kubernetes on keskeinen edistysaskel alalla, joka antaa yrityksille enemmän vaihtoehtoja isännöidä seuraavan sukupolven sovelluksia turvallisesti julkisessa pilvessä.
Holger Mueller, Constellation Researchin analyytikko.
NB Yrityksemme käynnistää päivitetyn intensiivikurssin 28.-30 niille, jotka eivät vielä tunne Kubernetesia, mutta haluavat tutustua siihen ja aloittaa työskentelyn. Ja tämän tapahtuman jälkeen 14.-16. julkaisemme päivitetyn kokeneille Kubernetes-käyttäjille, joille on tärkeää tietää kaikki viimeisimmät käytännön ratkaisut työskennellessä Kubernetesin uusimpien versioiden ja mahdollisen "rake" kanssa. Päällä Analysoimme teoriassa ja käytännössä tuotantovalmiin klusterin ("the-not-so-easy-way") asennuksen ja konfiguroinnin monimutkaisuutta, mekanismeja sovellusten turvallisuuden ja vikasietoisuuden takaamiseksi.
Google sanoi muun muassa, että sen luottamukselliset VM:t saavat uusia ominaisuuksia, kun ne tulevat yleisesti saataville päivästä alkaen. Esiin ilmestyi esimerkiksi tarkastusraportteja, jotka sisälsivät yksityiskohtaisia lokeja AMD Secure Processor -laiteohjelmiston eheyden tarkistuksesta, jota käytettiin luomaan avaimet kullekin luottamukselliselle virtuaalikoneelle.
Tiettyjen käyttöoikeuksien määrittämiseen on myös enemmän säätimiä, ja Google on myös lisännyt mahdollisuuden poistaa käytöstä kaikki luokittelemattomat virtuaalikoneet tietyssä projektissa. Google yhdistää myös luottamukselliset virtuaalikoneet muihin tietosuojamekanismeihin turvallisuuden takaamiseksi.
Voit käyttää jaettujen VPC:iden yhdistelmää palomuurisääntöjen ja organisaatiokäytäntöjen rajoitusten kanssa varmistaaksesi, että luottamukselliset VM:t voivat kommunikoida muiden luottamuksellisten virtuaalikoneiden kanssa, vaikka ne olisivat käynnissä eri projekteissa. Lisäksi voit määrittää luottamuksellisten virtuaalikoneiden GCP-resurssien laajuuden VPC-palvelun hallinnan avulla.
Sunil Potti ja Eyal Manor
Lähde: will.com