A Google, mun yi imanin cewa makomar lissafin gajimare za ta ƙara matsawa zuwa masu zaman kansu, ayyuka masu ɓoye waɗanda ke ba masu amfani cikakkiyar kwarin gwiwa ga keɓaɓɓen bayanansu.
Google Cloud ya riga ya ɓoye bayanan abokin ciniki a cikin wucewa da hutawa, amma har yanzu yana buƙatar ɓoye bayanan don sarrafa shi. Identididdigar sirri fasaha ce ta juyin juya hali da ake amfani da ita don ɓoye bayanai yayin sarrafawa. Wuraren kwamfuta na sirri suna ba ka damar adana rufaffen bayanai a cikin RAM da sauran wurare a wajen processor (CPU).
VMs masu sirri a halin yanzu suna cikin gwajin beta kuma shine samfur na farko a cikin layin Google Cloud Confidential Computing line. Mun riga mun yi amfani da keɓancewa daban-daban da dabarun wasan sandboxing a cikin ababen more rayuwa na girgije don tabbatar da tsaron gine-ginen masu haya da yawa. VMs masu sirri suna ɗaukar tsaro zuwa mataki na gaba ta hanyar ba da ɓoye ɓoye cikin ƙwaƙwalwar ajiya don ƙara ware nauyin aikin su a cikin gajimare, yana taimaka wa abokan cinikinmu su kare mahimman bayanai. Muna tsammanin wannan zai kasance da sha'awa ta musamman ga waɗanda ke aiki a cikin masana'antu da aka tsara (watakila game da GDPR da sauran abubuwan da suka shafi, kusan mai fassara).
Buɗe sabbin dama
Tuni tare da Asylo, dandali na bude tushen don lissafin sirri, mun mayar da hankali kan samar da yanayin ƙididdiga na sirri mai sauƙi don aikawa da amfani, samar da babban aiki da aikace-aikace don kowane nauyin aiki da kuka zaɓa don gudanar da girgije. Mun yi imanin cewa ba dole ba ne ka yi sulhu a kan iyawa, sassauci, aiki da tsaro.
Tare da Sirri na VMs masu shigar da beta, mu ne farkon manyan masu samar da girgije don ba da wannan matakin tsaro da keɓewa - kuma muna ba abokan ciniki zaɓi mai sauƙi, mai sauƙin amfani don sabbin aikace-aikacen duka da kuma waɗanda aka “ported” (wataƙila game da aikace-aikacen da suka dace. ana iya gudanar da shi a cikin gajimare ba tare da manyan canje-canje ba, kusan mai fassara). Mun bayar:
-
Sirrin da ba ya daidaita: Abokan ciniki na iya kare sirrin bayanansu masu mahimmanci a cikin gajimare, ko da lokacin da ake sarrafa su. Sirri na VMs suna ba da damar ingantaccen Encrypted Virtualization (SEV) fasalin na'urori na AMD EPYC na ƙarni na biyu. Bayanan ku ya kasance a rufaffen ɓoye yayin amfani, fiɗa, tambaya, da horo. Ana ƙirƙira maɓallan ɓoyewa a cikin kayan aikin daban don kowane injin kama-da-wane kuma kada a bar kayan aikin.
-
Ingantattun Ƙirƙira: Ƙididdigar ƙididdiga na iya buɗe yanayin sarrafawa waɗanda a baya ba zai yiwu ba. Kamfanoni yanzu za su iya raba keɓaɓɓun saitin bayanai da haɗin kai kan bincike a cikin gajimare yayin kiyaye sirrin.
-
Keɓantawa don Abubuwan Aiki na Ported: Burinmu shine sauƙaƙe ƙididdigar sirri. Canji zuwa VM na Sirri ba shi da matsala - duk nauyin aiki a cikin GCP da ke gudana a cikin injina na iya ƙaura zuwa VMs na Sirri. Yana da sauƙi - kawai duba akwati ɗaya.
-
Babban Kariyar Barazana: Ƙididdigar ƙididdiga tana ginawa akan kariyar VMs Garkuwa akan tushen kits da bootkits, yana taimakawa wajen tabbatar da amincin tsarin aiki da aka zaɓa don aiki a cikin VM na Sirri.
Tushen VMs na Sirri
VMs na sirri suna gudana akan injunan kama-da-wane na N2D waɗanda ke gudana akan na'urori na AMD EPYC na ƙarni na biyu. Siffar SEV ta AMD tana ba da babban aiki akan mafi yawan ƙididdige ayyukan ƙididdigewa yayin da aka ɓoye na'ura mai kama da RAM tare da kowane maɓalli na VM wanda mai sarrafa EPYC ke samarwa da sarrafa shi. Maɓallai na AMD Secure Processor coprocessor ne ke ƙirƙira su lokacin da aka ƙirƙiri injin kama-da-wane kuma suna cikinsa na musamman, wanda ke sa ba za su iya shiga Google da sauran injunan kama-da-wane da ke gudana akan kulli ɗaya ba.
Baya ga ginanniyar ɓoyayyen RAM na hardware, muna gina VMs na Sirri a saman Garkuwan VMs don samar da juriya ga hoton tsarin aiki, tabbatar da amincin firmware, binaries na kernel, da direbobi. Hotunan da Google ke bayarwa sun haɗa da Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) da RHEL 8.2. Muna aiki akan Centos, Debian da sauransu don ba da wasu hotunan tsarin aiki.
Muna kuma aiki kafada da kafada tare da ƙungiyar injiniyoyi na AMD Cloud Solution don tabbatar da cewa ɓoyayyen ƙwaƙwalwar na'ura baya tasiri aiki. Mun ƙara goyan baya ga sabbin direbobin OSS (nvme da gvnic) don ɗaukar buƙatun ajiya da zirga-zirgar hanyar sadarwa a mafi girman kayan aiki fiye da tsofaffin ladabi. Wannan ya ba da damar tabbatar da cewa alamun aikin VMs na Sirri suna kusa da na injina na yau da kullun.
Amintaccen Rufaffen Farko, wanda aka gina a cikin ƙarni na biyu na na'urori na AMD EPYC, yana ba da ingantaccen tsarin tsaro na kayan masarufi wanda ke taimakawa kare bayanai a cikin yanayi mai ƙima. Don tallafawa sabon GCE Confidential VMs N2D, mun yi aiki tare da Google don taimakawa abokan ciniki su kare bayanansu da tabbatar da aikin aikinsu. Mun yi matukar farin cikin ganin cewa VMs na Sirri suna isar da matakin daidaitaccen babban aiki a duk ayyukan aiki kamar N2D VMs na yau da kullun.
Raghu Nambiar, Mataimakin Shugaban Kasa, Cibiyar Nazarin Cibiyar Bayanai, AMD
Fasaha Canjin Wasan
Ƙididdigar sirri na iya taimakawa canza yadda kamfanoni ke sarrafa bayanai a cikin gajimare yayin kiyaye sirri da tsaro. Har ila yau, a cikin wasu fa'idodin, kamfanoni za su iya yin aiki tare ba tare da lalata sirrin bayanan ba. Irin wannan haɗin gwiwar, bi da bi, na iya haifar da haɓaka fasahohi da ra'ayoyi masu canzawa, kamar ikon ƙirƙirar rigakafi da sauri da kuma magance cututtuka sakamakon irin wannan amintaccen haɗin gwiwa.
Ba za mu iya jira don ganin damar da wannan fasahar ke buɗewa ga kamfanin ku ba. Duba don neman ƙarin.
PS Ba a karon farko ba, kuma da fatan ba na ƙarshe ba, Google ya fitar da wata fasaha da ke canza duniya. Kamar yadda ya faru da Kubernetes kwanan nan. Muna tallafawa da rarraba fasahar Goggle gwargwadon iyawarmu kuma muna horar da kwararrun IT a Rasha. Kamfaninmu yana daya daga cikin 3 Kubernetes Tabbataccen Mai Ba da Sabis kuma guda daya Abokin Koyarwar Kubernetes a Rasha. Shi ya sa muke gudanar da darussan horo na Kubernetes mai zurfi kowane bazara da kaka. Za a gudanar da kwasa-kwasan na gaba a ranar 28-30 ga Satumba da Oktoba 14-16 .
source: www.habr.com