Chez Google, nous pensons que l'avenir du cloud computing s'orientera de plus en plus vers des services privés et cryptés qui donneront aux utilisateurs une confiance totale dans la confidentialité de leurs données.
Google Cloud chiffre déjà les données des clients en transit et au repos, mais elles doivent encore être déchiffrées pour être traitées. Informatique confidentielle est une technologie révolutionnaire utilisée pour crypter les données pendant le traitement. Les environnements informatiques confidentiels vous permettent de stocker des données cryptées dans la RAM et à d'autres endroits en dehors du processeur (CPU).
Confidential VMs est actuellement en phase de test bêta et constitue le premier produit de la gamme Google Cloud Confidential Computing. Nous utilisons déjà diverses techniques d'isolation et de sandboxing dans notre infrastructure cloud pour assurer la sécurité d'une architecture multi-tenant. Les machines virtuelles confidentielles font passer la sécurité à un niveau supérieur en offrant un chiffrement en mémoire pour isoler davantage leurs charges de travail dans le cloud, aidant ainsi nos clients à protéger leurs données sensibles. Nous pensons que cela sera particulièrement intéressant pour ceux qui travaillent dans des secteurs réglementés (peut-être à propos du RGPD et d'autres sujets connexes, environ. traducteur).
Ouvrir de nouvelles possibilités
Déjà avec Asylo, la plateforme open source pour l'informatique confidentielle, nous nous sommes efforcés de rendre les environnements informatiques confidentiels faciles à déployer et à utiliser, offrant des performances et des applications élevées pour toute charge de travail que vous choisissez d'exécuter dans le cloud. Nous pensons que vous n'avez pas à faire de compromis sur la convivialité, la flexibilité, les performances et la sécurité.
Avec l'entrée en version bêta de Confidential VMs, nous sommes le premier grand fournisseur de cloud à offrir ce niveau de sécurité et d'isolation et à fournir aux clients une option simple et facile à utiliser pour les nouvelles applications et celles « portées » (probablement pour les applications qui peut être exécuté dans le cloud sans changements significatifs, environ. traducteur). Nous fournissons:
-
Confidentialité inégalée : les clients peuvent protéger la confidentialité de leurs données sensibles dans le cloud, même pendant leur traitement. Les machines virtuelles confidentielles exploitent la fonctionnalité SEV (Secure Encrypted Virtualization) des processeurs AMD EPYC de deuxième génération. Vos données restent cryptées pendant l'utilisation, l'indexation, l'interrogation et la formation. Les clés de chiffrement sont créées dans le matériel séparément pour chaque machine virtuelle et ne quittent jamais le matériel.
-
Innovation améliorée : l'informatique confidentielle peut ouvrir la voie à des scénarios de traitement qui n'étaient auparavant pas possibles. Les entreprises peuvent désormais partager des ensembles de données classifiées et collaborer à des recherches dans le cloud tout en préservant le secret.
-
Confidentialité des charges de travail portées : notre objectif est de simplifier l'informatique confidentielle. La transition vers Confidential VMs est transparente : toutes les charges de travail de GCP exécutées sur des machines virtuelles peuvent migrer vers Confidential VMs. C'est simple : il suffit de cocher une case.
-
Protection avancée contre les menaces : l'informatique confidentielle s'appuie sur la protection des machines virtuelles protégées contre les rootkits et les bootkits, contribuant ainsi à garantir l'intégrité du système d'exploitation sélectionné pour s'exécuter dans la machine virtuelle confidentielle.
Notions de base des machines virtuelles confidentielles
Les machines virtuelles confidentielles s'exécutent sur des machines virtuelles N2D qui s'exécutent sur des processeurs AMD EPYC de deuxième génération. La fonctionnalité SEV d'AMD offre des performances élevées sur les charges de travail de calcul les plus exigeantes tout en gardant la RAM de la machine virtuelle cryptée avec une clé par VM générée et gérée par le processeur EPYC. Les clés sont créées par le coprocesseur AMD Secure Processor lors de la création de la machine virtuelle et se trouvent exclusivement dans celle-ci, ce qui les rend inaccessibles à la fois à Google et aux autres machines virtuelles exécutées sur le même nœud.
En plus du cryptage matériel intégré de la RAM, nous construisons des machines virtuelles confidentielles au-dessus des machines virtuelles protégées pour assurer une inviolabilité de l'image du système d'exploitation, en vérifiant l'intégrité du micrologiciel, des binaires du noyau et des pilotes. Les images proposées par Google incluent Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) et RHEL 8.2. Nous travaillons sur Centos, Debian et autres pour proposer d'autres images de systèmes d'exploitation.
Nous travaillons également en étroite collaboration avec l'équipe d'ingénierie AMD Cloud Solution pour garantir que le chiffrement de la mémoire de la machine virtuelle n'a pas d'impact sur les performances. Nous avons ajouté la prise en charge de nouveaux pilotes OSS (nvme et gvnic) pour gérer les demandes de stockage et le trafic réseau avec un débit plus élevé que les anciens protocoles. Cela a permis de vérifier que les indicateurs de performances des Confidential VM sont proches de ceux des machines virtuelles classiques.
La virtualisation cryptée sécurisée, intégrée à la deuxième génération de processeurs AMD EPYC, fournit une fonctionnalité de sécurité matérielle innovante qui aide à protéger les données dans un environnement virtualisé. Pour prendre en charge les nouvelles machines virtuelles GCE Confidential N2D, nous avons travaillé avec Google pour aider les clients à protéger leurs données et à garantir les performances de leurs charges de travail. Nous sommes très heureux de constater que les VM Confidential offrent le même niveau de hautes performances sur toutes les charges de travail que les VM N2D classiques.
Raghu Nambiar, vice-président, écosystème de centres de données, AMD
Une technologie qui change la donne
L'informatique confidentielle peut contribuer à changer la manière dont les entreprises traitent les données dans le cloud tout en préservant la confidentialité et la sécurité. En outre, entre autres avantages, les entreprises pourront travailler ensemble sans compromettre le secret des ensembles de données. Une telle collaboration, à son tour, peut conduire au développement de technologies et d’idées encore plus transformatrices, telles que la capacité de créer rapidement des vaccins et de traiter des maladies grâce à une telle collaboration sécurisée.
Nous avons hâte de voir les opportunités que cette technologie ouvre pour votre entreprise. Regarder pour en savoir plus.
PS Ce n’est pas la première fois, et espérons-le pas la dernière, que Google déploie une technologie qui change le monde. Comme cela s’est produit récemment avec Kubernetes. Nous soutenons et distribuons les technologies Goggle au mieux de nos capacités et formons des spécialistes informatiques en Russie. Notre entreprise est l'une des 3 Fournisseur de services certifié Kubernetes et le seul Partenaire de formation Kubernetes en Russie. C’est pourquoi nous organisons des sessions de formation intensives sur Kubernetes chaque printemps et automne. Les prochains cours intensifs auront lieu du 28 au 30 septembre et du 14 au 16 octobre .
Source: habr.com