By Google leauwe wy dat de takomst fan cloud computing hieltyd mear sil ferskowe nei privee, fersifere tsjinsten dy't brûkers folslein fertrouwen jouwe yn 'e privacy fan har gegevens.
Google Cloud fersiferet al klantgegevens yn transit en yn rêst, mar it moat noch wurde ûntsifere om te ferwurkjen. Fertroulik berekkenjen is in revolúsjonêre technology dy't brûkt wurdt om gegevens te fersiferjen by it ferwurkjen. Fertroulike kompjûteromjouwings kinne jo fersifere gegevens opslaan yn RAM en oare plakken bûten de prosessor (CPU).
Fertroulike VM's is op it stuit yn beta-testen en is it earste produkt yn 'e Google Cloud Confidential Computing-line. Wy brûke al ferskate isolaasje- en sânboxtechniken yn ús wolkynfrastruktuer om de feiligens fan in multi-tenant-arsjitektuer te garandearjen. Fertroulike VM's nimme feiligens nei it folgjende nivo troch fersifering yn it ûnthâld oan te bieden om har wurkdruk yn 'e wolk fierder te isolearjen, en helpt ús klanten gefoelige gegevens te beskermjen. Wy tinke dat dit fan bysûnder belang sil wêze foar dyjingen dy't wurkje yn regulearre yndustry (miskien oer GDPR en oare relatearre dingen, ca. oersetter).
It iepenjen fan nije kânsen
Al mei Asylo, it iepen boarne platfoarm foar fertroulik komputer, hawwe wy rjochte op it meitsjen fan fertroulike komputeromjouwings maklik te ynsetten en te brûken, en biede hege prestaasjes en tapassing foar elke wurkdruk dy't jo kieze om yn 'e wolk te rinnen. Wy leauwe dat jo net hoege te kompromittearjen op brûkberens, fleksibiliteit, prestaasjes en feiligens.
Mei fertroulike VM's dy't beta ynfiere, binne wy de earste grutte wolkprovider dy't dit nivo fan feiligens en isolaasje biedt - en klanten in ienfâldige, maklik te brûken opsje foar sawol nije applikaasjes as "porteare" (wierskynlik oer applikaasjes dy't kin wurde útfierd yn 'e wolk sûnder signifikante feroaringen, ca. oersetter). Wy leverje:
Ongeëvenaarde privacy: Klanten kinne de privacy fan har gefoelige gegevens yn 'e wolk beskermje, sels wylst se wurde ferwurke. Fertroulike VM's brûke de funksje Secure Encrypted Virtualization (SEV) fan 'e twadde generaasje AMD EPYC-processors. Jo gegevens bliuwe fersifere tidens gebrûk, yndeksearjen, opfreegjen en training. Fersiferingskaaien wurde makke yn 'e hardware apart foar elke firtuele masine en ferlitte de hardware nea.
Ferbettere ynnovaasje: Fertroulike komputer kin ferwurkingssenario's iepenje dy't earder net mooglik wiene. Bedriuwen kinne no klassifisearre datasets diele en gearwurkje oan ûndersyk yn 'e wolk, wylst se geheim hâlde.
Privacy foar Ported Workloads: Us doel is om fertroulike komputer te ferienfâldigjen. De oergong nei fertroulike VM's is naadloos - alle wurklasten yn GCP dy't rinne yn firtuele masines kinne migrearje nei fertroulike VM's. It is ienfâldich - markearje gewoan ien fakje.
Avansearre bedrigingsbeskerming: fertroulike komputer bouwt op 'e beskerming fan Shielded VM's tsjin rootkits en bootkits, en helpt om de yntegriteit te garandearjen fan it bestjoeringssysteem dat selektearre is om te rinnen yn 'e fertroulike VM.
Basis fan fertroulike VM's
Fertroulike VM's rinne op N2D firtuele masines dy't rinne op twadde-generaasje AMD EPYC-processors. De SEV-funksje fan AMD leveret hege prestaasjes op meast easket berekkeningswurkloads, wylst it RAM fan firtuele masine fersifere wurdt mei in per-VM-kaai generearre en beheard troch de EPYC-prosessor. De kaaien wurde makke troch de AMD Secure Processor coprocessor doe't de firtuele masine wurdt oanmakke en lizze allinnich yn it, dat makket se net tagonklik foar sawol Google en oare firtuele masines dy't rinne op deselde knooppunt.
Neist ynboude hardware-fersifering fan RAM, bouwe wy fertroulike VM's boppe op ôfskerme VM's om te soargjen dat de OS-ôfbylding manipulaasjebestindich is en om de yntegriteit fan firmware, kernelbinêre bestannen en stjoerprogramma's te ferifiearjen. De oanbeane ôfbyldings fan Google omfetsje Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) en RHEL 8.2. Wy wurkje oan Centos, Debian en oaren om oare bestjoeringssysteemôfbyldings oan te bieden.
Wy wurkje ek nau gear mei it AMD Cloud Solution engineering team om te soargjen dat firtuele masine ûnthâld fersifering gjin ynfloed hat op prestaasjes. Wy hawwe stipe tafoege foar nije OSS-bestjoerders (nvme en gvnic) om opslachoanfragen en netwurkferkear te behanneljen mei hegere trochfier dan âldere protokollen. Dit makke it mooglik om te kontrolearjen dat de prestaasje-yndikatoaren fan fertroulike VM's tichtby dy fan reguliere firtuele masines binne.
Secure Encrypted Virtualization, boud yn 'e twadde generaasje fan AMD EPYC-processors, leveret in ynnovative hardwarefeiligensfunksje dy't helpt te beskermjen fan gegevens yn in virtualisearre omjouwing. Om de nije GCE Confidential VM's N2D te stypjen, wurken wy mei Google om klanten te helpen har gegevens te beskermjen en de prestaasjes fan har wurkdruk te garandearjen. Wy binne tige bliid om te sjen dat fertroulike VM's itselde nivo fan hege prestaasjes leverje oer workloads as typyske N2D VM's.
Raghu Nambiar, Vice President, Data Center Ecosystem, AMD
Game Changing Technology
Fertroulik komputer kin helpe om de manier te feroarjen wêrop bedriuwen gegevens yn 'e wolk ferwurkje, wylst se privacy en feiligens behâlde. Ek, ûnder oare foardielen, sille bedriuwen gearwurkje kinne sûnder it geheim fan datasets te kompromittearjen. Sokke gearwurkings kinne op syn beurt liede ta de ûntwikkeling fan noch mear transformative technologyen en ideeën, lykas de mooglikheid om fluch faksins te meitsjen en sykten te behanneljen as gefolch fan sokke feilige gearwurkings.
Wy kinne net wachtsje om de kânsen te sjen dy't dizze technology iepenet foar jo bedriuw. Sjen om mear te finen.
PS Net foar de earste kear, en hooplik net de lêste, rôlet Google in technology út dy't de wrâld feroaret. As barde mei Kubernetes frij koartlyn. Wy stypje en fersprieden Goggle-technologyen nei it bêste fan ús fermogen en traine IT-spesjalisten yn Ruslân. Us bedriuw is ien fan 3 Kubernetes Certified Service Provider en de ienige Kubernetes Training Partner yn Ruslân. Dêrom fiere wy elke maitiid en hjerst yntinsive Kubernetes-training sesjes. De folgjende yntinsive kursussen wurde hâlden op 28-30 septimber en 14-16 oktober .
Boarne: www.habr.com
