TL; DR: Ou kapab kounye a kouri Kubernetes sou soti nan Google.
Google jodi a (08.09.2020/XNUMX/XNUMX, approx. tradiktè) nan evènman an te anonse ekspansyon nan liy pwodwi li yo ak lansman de yon nouvo sèvis.
Nœuds GKE konfidansyèl yo ajoute plis enfòmasyon prive nan chaj travay k ap kouri sou Kubernetes. An jiyè, premye pwodwi a te lanse rele , e jodi a machin vityèl sa yo deja disponib piblikman pou tout moun.
Konfidansyal Computing se yon nouvo pwodwi ki enplike nan estoke done nan fòm chiffres pandan y ap trete yo. Sa a se dènye lyen nan chèn chifreman done, depi founisè sèvis nwaj yo deja ankripte done antre ak soti. Jiska dènyèman, li te nesesè yo dechifre done jan yo te trete yo, ak anpil ekspè wè sa a kòm yon twou flagran nan jaden an nan chifreman done.
Inisyativ Konfidential Computing Google la baze sou yon kolaborasyon ak Konsòsyòm Konfidential Computing, yon gwoup endistri pou ankouraje konsèp Trusted Execution Environment (TEEs). TEE se yon pati an sekirite nan processeur a kote done yo chaje ak kòd yo chiffres, ki vle di ke enfòmasyon sa a pa ka jwenn aksè pa lòt pati nan menm processeur a.
VM Konfidansyal Google yo kouri sou machin vityèl N2D ki kouri sou processeur EPYC dezyèm jenerasyon AMD yo, ki sèvi ak teknoloji Secure Encrypted Virtualization pou izole machin vityèl yo nan ipèvizeur kote yo kouri. Gen yon garanti ke done yo rete chiffres kèlkeswa itilizasyon li yo: chaj travay, analiz, demann pou modèl fòmasyon pou entèlijans atifisyèl. Machin vityèl sa yo fèt pou satisfè bezwen nenpòt konpayi ki okipe done sansib nan zòn reglemante tankou endistri bankè a.
Petèt plis ijan se anons tès beta k ap vini an nan nœuds GKE konfidansyèl, ki Google di yo pral prezante nan lage 1.18 kap vini an. (GKE). GKE se yon anviwònman jere, ki pare pou pwodiksyon pou kouri kontenè ki gen pati nan aplikasyon modèn ki ka kouri nan plizyè anviwònman enfòmatik. Kubernetes se yon zouti orchestration sous ouvè ki itilize pou jere resipyan sa yo.
Ajoute nœuds GKE konfidansyèl yo bay plis enfòmasyon prive lè w ap kouri gwoup GKE. Lè w ajoute yon nouvo pwodwi nan liy Konfidential Computing, nou te vle bay yon nouvo nivo
konfidansyalite ak portabilite pou chaj travay ki nan kontenè. Nœuds GKE Konfidansyèl Google yo bati sou menm teknoloji ak VM Konfidansyèl yo, sa ki pèmèt ou ankripte done nan memwa lè l sèvi avèk yon kle chifreman espesifik nœuds ki te pwodwi ak jere pa processeur AMD EPYC la. Nœuds sa yo pral sèvi ak chifreman RAM ki baze sou pyès ki nan konpitè ki baze sou karakteristik SEV AMD a, ki vle di kantite travay ou ap kouri sou nœuds sa yo pral chiffres pandan y ap kouri.
Sunil Potti ak Eyal Manor, Cloud Engineers, Google
Sou nœuds GKE konfidansyèl yo, kliyan yo ka konfigure gwoup GKE pou pisin nœuds yo kouri sou VM konfidansyèl yo. Senpleman mete, nenpòt chaj travay ki kouri sou nœuds sa yo pral chiffres pandan y ap trete done yo.
Anpil antrepwiz mande plis enfòmasyon prive lè y ap itilize sèvis nwaj piblik yo pase sa yo fè pou chaj travay sou lokal yo kouri sou lokal pou pwoteje kont atakè yo. Ekspansyon Google Cloud nan liy Konfidential Computing li ogmante ba sa a lè li bay itilizatè yo kapasite pou bay sekrè pou gwoup GKE. Ak bay popilarite li, Kubernetes se yon etap enpòtan pou endistri a, bay konpayi yo plis opsyon pou òganize aplikasyon pwochen jenerasyon an sekirite nan nwaj piblik la.
Holger Mueller, analis nan Constellation Research.
NB Konpayi nou an ap lanse yon kou entansif ajou sou 28-30 septanm pou moun ki poko konnen Kubernetes, men ki vle fè konesans ak li epi kòmanse travay. Epi apre evènman sa a ki te fèt 14-16 oktòb, n ap lanse yon mizajou pou itilizatè ki gen eksperyans Kubernetes pou ki moun li enpòtan konnen tout dènye solisyon yo pratik nan travay ak dènye vèsyon yo nan Kubernetes ak posib "rato". Sou Nou pral analize nan teyori ak nan pratik konplike yo nan enstale ak konfigirasyon yon grap pwodiksyon-pare ("the-not-so-easy-way"), mekanis pou asire sekirite ak tolerans fay nan aplikasyon yo.
Pami lòt bagay, Google te di ke VM konfidansyèl li yo pral jwenn kèk karakteristik nouvo jan yo vin disponib jeneralman apati jodi a. Pou egzanp, rapò odit te parèt ki gen mòso detaye sou chèk entegrite firmwèr AMD Secure Processor yo itilize pou jenere kle pou chak egzanp VM Konfidansyèl yo.
Genyen tou plis kontwòl pou mete dwa aksè espesifik, ak Google te ajoute tou kapasite nan enfim nenpòt machin vityèl ki pa klase sou yon pwojè bay yo. Google tou konekte VM Konfidansyèl ak lòt mekanis sou vi prive pou bay sekirite.
Ou ka itilize yon konbinezon de VPC pataje ak règ firewall ak restriksyon politik òganizasyon pou asire ke VM Konfidansyèl yo ka kominike ak lòt VM Konfidansyèl, menm si yo ap kouri sou diferan pwojè. Anplis de sa, ou ka itilize Kontwòl Sèvis VPC pou mete dimansyon resous GCP pou VM Konfidansyèl ou yo.
Sunil Potti ak Eyal Manor
Sous: www.habr.com