TL; DR: Sada možete pokrenuti Kubernetes od Googlea.
Google danas (08.09.2020., cca. prevoditelj) na događaju najavio je proširenje svoje linije proizvoda lansiranjem nove usluge.
Povjerljivi GKE čvorovi dodaju više privatnosti radnim opterećenjima koja se izvode na Kubernetesu. U srpnju je lansiran prvi proizvod tzv , a danas su ti virtualni strojevi već javno dostupni svima.
Confidential Computing novi je proizvod koji uključuje pohranu podataka u šifriranom obliku dok se obrađuju. Ovo je zadnja karika u lancu enkripcije podataka, budući da pružatelji usluga u oblaku već šifriraju podatke. Donedavno je bilo potrebno dešifrirati podatke dok su se obrađivali, a mnogi stručnjaci to vide kao veliku rupu u području enkripcije podataka.
Googleova Inicijativa za povjerljivo računalstvo temelji se na suradnji s Consortiumom za povjerljivo računalstvo, industrijskom grupom za promicanje koncepta pouzdanih izvršnih okruženja (TEE). TEE je sigurni dio procesora u kojem su učitani podaci i kod kriptirani, što znači da tim informacijama ne mogu pristupiti drugi dijelovi istog procesora.
Googleovi povjerljivi VM-ovi rade na N2D virtualnim strojevima koji rade na AMD-ovim EPYC procesorima druge generacije, koji koriste tehnologiju sigurne šifrirane virtualizacije za izolaciju virtualnih strojeva od hipervizora na kojem se pokreću. Postoji jamstvo da podaci ostaju šifrirani bez obzira na njihovu upotrebu: radna opterećenja, analitika, zahtjevi za modele obuke za umjetnu inteligenciju. Ovi virtualni strojevi dizajnirani su kako bi zadovoljili potrebe bilo koje tvrtke koja rukuje osjetljivim podacima u reguliranim područjima kao što je bankarska industrija.
Možda je hitnija najava nadolazećeg beta testiranja povjerljivih GKE čvorova, za koje Google kaže da će biti predstavljeno u nadolazećem izdanju 1.18 (GKE). GKE je upravljano okruženje spremno za proizvodnju za pokretanje spremnika koji ugošćuju dijelove modernih aplikacija koje se mogu izvoditi u više računalnih okruženja. Kubernetes je orkestralni alat otvorenog koda koji se koristi za upravljanje tim spremnicima.
Dodavanje povjerljivih GKE čvorova pruža veću privatnost pri pokretanju GKE klastera. Kada smo dodavali novi proizvod liniji Confidential Computing, željeli smo pružiti novu razinu
privatnost i prenosivost za radna opterećenja u kontejnerima. Googleovi povjerljivi GKE čvorovi izgrađeni su na istoj tehnologiji kao i povjerljivi VM-ovi, omogućujući vam šifriranje podataka u memoriji pomoću ključa za šifriranje specifičnog za čvor koji generira i njime upravlja AMD EPYC procesor. Ovi će čvorovi koristiti hardverski baziranu RAM enkripciju temeljenu na AMD-ovoj značajci SEV, što znači da će vaša radna opterećenja koja se izvode na tim čvorovima biti šifrirana dok se izvode.
Sunil Potti i Eyal Manor, inženjeri oblaka, Google
Na povjerljivim GKE čvorovima korisnici mogu konfigurirati GKE klastere tako da skupovi čvorova rade na povjerljivim VM-ovima. Jednostavno rečeno, sva radna opterećenja koja se izvode na tim čvorovima bit će šifrirana dok se podaci obrađuju.
Mnoga poduzeća zahtijevaju još veću privatnost pri korištenju javnih usluga u oblaku nego što to zahtijevaju za lokalna radna opterećenja koja se izvode na lokaciji radi zaštite od napadača. Proširenje linije povjerljivog računalstva Google Clouda podiže ovu ljestvicu pružajući korisnicima mogućnost pružanja tajnosti za GKE klastere. A s obzirom na njegovu popularnost, Kubernetes je ključni korak naprijed za industriju, dajući tvrtkama više opcija za sigurno ugošćavanje aplikacija sljedeće generacije u javnom oblaku.
Holger Mueller, analitičar u Constellation Research.
NB Naša tvrtka pokreće ažurirani intenzivni tečaj od 28. do 30. rujna za one koji još ne poznaju Kubernetes, a žele se s njime upoznati i početi raditi. A nakon ovog događaja od 14. do 16. listopada, pokrećemo ažurirani za iskusne korisnike Kubernetesa kojima je važno znati sva najnovija praktična rješenja u radu s najnovijim verzijama Kubernetesa i eventualne “rake”. Na Analizirat ćemo u teoriji iu praksi zamršenost instaliranja i konfiguriranja klastera spremnog za proizvodnju (“ne-tako-jednostavan način”), mehanizme za osiguravanje sigurnosti i tolerancije na pogreške aplikacija.
Između ostalog, Google je rekao da će njegovi povjerljivi VM-ovi dobiti neke nove značajke kada postanu općenito dostupni od danas. Na primjer, pojavila su se izvješća o reviziji koja sadrže detaljne zapise provjere integriteta firmvera AMD Secure Processor koji se koristi za generiranje ključeva za svaku instancu Confidential VM.
Postoji i više kontrola za postavljanje specifičnih prava pristupa, a Google je također dodao mogućnost onemogućavanja bilo kojeg neklasificiranog virtualnog stroja na određenom projektu. Google također povezuje povjerljive VM-ove s drugim mehanizmima privatnosti radi pružanja sigurnosti.
Možete koristiti kombinaciju dijeljenih VPC-ova s pravilima vatrozida i ograničenjima organizacijskih pravila kako biste osigurali da povjerljivi VM mogu komunicirati s drugim povjerljivim VM-ovima, čak i ako se pokreću na različitim projektima. Osim toga, možete koristiti VPC Service Controls za postavljanje opsega GCP resursa za vaše povjerljive VM-ove.
Sunil Potti i dvorac Eyal
Izvor: www.habr.com