TL; DR : Vous pouvez désormais exécuter Kubernetes sur de google.
Google aujourd'hui (08.09.2020/XNUMX/XNUMX, environ. traducteur) a l'événement a annoncé l'élargissement de sa gamme de produits avec le lancement d'un nouveau service.
Les nœuds GKE confidentiels ajoutent plus de confidentialité aux charges de travail exécutées sur Kubernetes. En juillet, le premier produit a été lancé, appelé , et aujourd'hui, ces machines virtuelles sont déjà accessibles à tous.
Confidential Computing est un nouveau produit qui consiste à stocker des données sous forme cryptée pendant leur traitement. Il s’agit du dernier maillon de la chaîne de chiffrement des données, puisque les fournisseurs de services cloud chiffrent déjà les données entrantes et sortantes. Jusqu’à récemment, il était nécessaire de décrypter les données au fur et à mesure de leur traitement, et de nombreux experts y voient une lacune flagrante dans le domaine du cryptage des données.
La Confidential Computing Initiative de Google est basée sur une collaboration avec le Confidential Computing Consortium, un groupe industriel visant à promouvoir le concept d'environnements d'exécution de confiance (TEE). TEE est une partie sécurisée du processeur dans laquelle les données et le code chargés sont cryptés, ce qui signifie que ces informations ne sont pas accessibles par d'autres parties du même processeur.
Les machines virtuelles confidentielles de Google fonctionnent sur des machines virtuelles N2D fonctionnant sur des processeurs EPYC de deuxième génération d'AMD, qui utilisent la technologie de virtualisation cryptée sécurisée pour isoler les machines virtuelles de l'hyperviseur sur lequel elles s'exécutent. Il existe une garantie que les données restent cryptées quelle que soit leur utilisation : charges de travail, analyses, demandes de modèles de formation pour l'intelligence artificielle. Ces machines virtuelles sont conçues pour répondre aux besoins de toute entreprise manipulant des données sensibles dans des domaines réglementés comme le secteur bancaire.
L'annonce du prochain test bêta des nœuds Confidential GKE, qui, selon Google, sera introduite dans la prochaine version 1.18 est peut-être plus urgente. (GKE). GKE est un environnement géré prêt pour la production permettant d'exécuter des conteneurs qui hébergent des parties d'applications modernes pouvant être exécutées sur plusieurs environnements informatiques. Kubernetes est un outil d'orchestration open source utilisé pour gérer ces conteneurs.
L'ajout de nœuds GKE confidentiels offre une plus grande confidentialité lors de l'exécution de clusters GKE. En ajoutant un nouveau produit à la gamme Confidential Computing, nous voulions offrir un nouveau niveau de
confidentialité et portabilité pour les charges de travail conteneurisées. Les nœuds Confidential GKE de Google sont construits sur la même technologie que les machines virtuelles Confidential, vous permettant de chiffrer les données en mémoire à l'aide d'une clé de chiffrement spécifique au nœud générée et gérée par le processeur AMD EPYC. Ces nœuds utiliseront un cryptage matériel de la RAM basé sur la fonctionnalité SEV d'AMD, ce qui signifie que vos charges de travail exécutées sur ces nœuds seront cryptées pendant leur exécution.
Sunil Potti et Eyal Manor, ingénieurs cloud, Google
Sur les nœuds Confidential GKE, les clients peuvent configurer des clusters GKE afin que les pools de nœuds s'exécutent sur des VM Confidential. En termes simples, toutes les charges de travail exécutées sur ces nœuds seront chiffrées pendant le traitement des données.
De nombreuses entreprises ont besoin d'encore plus de confidentialité lorsqu'elles utilisent des services de cloud public que pour des charges de travail sur site exécutées sur site afin de se protéger contre les attaquants. L'expansion par Google Cloud de sa gamme Confidential Computing place la barre plus haut en offrant aux utilisateurs la possibilité d'assurer la confidentialité des clusters GKE. Et compte tenu de sa popularité, Kubernetes constitue une avancée clé pour le secteur, offrant aux entreprises davantage d’options pour héberger en toute sécurité les applications de nouvelle génération dans le cloud public.
Holger Mueller, analyste chez Constellation Research.
NB Notre entreprise lance un cours intensif mis à jour du 28 au 30 septembre pour ceux qui ne connaissent pas encore Kubernetes, mais souhaitent se familiariser avec lui et commencer à travailler. Et après cet événement du 14 au 16 octobre, nous lançons une version mise à jour pour les utilisateurs expérimentés de Kubernetes pour qui il est important de connaître toutes les dernières solutions pratiques pour travailler avec les dernières versions de Kubernetes et les éventuels « rake ». Sur Nous analyserons en théorie et en pratique les subtilités de l'installation et de la configuration d'un cluster prêt pour la production (« la méthode pas si simple »), les mécanismes permettant d'assurer la sécurité et la tolérance aux pannes des applications.
Entre autres choses, Google a déclaré que ses machines virtuelles confidentielles bénéficieront de nouvelles fonctionnalités à mesure qu'elles seront généralement disponibles à partir d'aujourd'hui. Par exemple, des rapports d'audit sont apparus contenant des journaux détaillés de la vérification de l'intégrité du micrologiciel du processeur AMD Secure utilisé pour générer des clés pour chaque instance de machines virtuelles confidentielles.
Il existe également davantage de contrôles pour définir des droits d'accès spécifiques, et Google a également ajouté la possibilité de désactiver toute machine virtuelle non classifiée sur un projet donné. Google connecte également les machines virtuelles confidentielles à d'autres mécanismes de confidentialité pour assurer la sécurité.
Vous pouvez utiliser une combinaison de VPC partagés avec des règles de pare-feu et des restrictions de stratégie d'organisation pour garantir que les VM Confidential peuvent communiquer avec d'autres VM Confidential, même si elles s'exécutent sur des projets différents. De plus, vous pouvez utiliser VPC Service Controls pour définir la portée des ressources GCP pour vos Confidential VM.
Sunil Potti et le manoir Eyal
Source: habr.com