TL, DR: Most már futtathatja a Kubernetes-et a Google-tól.
Google ma (08.09.2020., kb. fordító) a rendezvényen bejelentette termékvonalának bővítését egy új szolgáltatás elindításával.
A bizalmas GKE-csomópontok nagyobb adatvédelmet biztosítanak a Kubernetesen futó munkaterhelésekhez. Júliusban megjelent az első termék ún , és ma ezek a virtuális gépek már mindenki számára nyilvánosan elérhetőek.
A Confidential Computing egy új termék, amely magában foglalja az adatok titkosított formában történő tárolását a feldolgozás során. Ez az utolsó láncszem az adattitkosítási láncban, mivel a felhőszolgáltatók már most is titkosítják az adatokat. Egészen a közelmúltig szükség volt az adatok visszafejtésére a feldolgozás során, és sok szakértő ezt kirívó lyuknak látja az adattitkosítás területén.
A Google Confidential Computing Initiative a Confidential Computing Consortiummal való együttműködésen alapul, amely a Trusted Execution Environments (TEE) koncepcióját népszerűsítő iparági csoport. A TEE a processzor biztonságos része, amelyben a betöltött adatok és kódok titkosítva vannak, ami azt jelenti, hogy ezekhez az információkhoz ugyanazon processzor más részei nem férhetnek hozzá.
A Google bizalmas virtuális gépei az AMD második generációs EPYC processzorain futó N2D virtuális gépeken futnak, amelyek Secure Encrypted Virtualization technológiát használnak a virtuális gépek elkülönítésére a hipervizortól, amelyen futnak. Garancia van arra, hogy az adatok felhasználásuktól függetlenül titkosítva maradnak: munkaterhelések, elemzések, mesterséges intelligencia képzési modelljeinek kérései. Ezeket a virtuális gépeket úgy tervezték, hogy megfeleljenek minden olyan vállalat igényeinek, amely érzékeny adatokat kezel szabályozott területeken, például a bankszektorban.
Talán még sürgetőbb a bizalmas GKE csomópontok közelgő béta tesztelésének bejelentése, amely a Google szerint a közelgő 1.18-as kiadásban fog megjelenni (GKE). A GKE felügyelt, termelésre kész környezet olyan konténerek futtatására, amelyek több számítási környezetben futtatható modern alkalmazások részeit tartalmazzák. A Kubernetes egy nyílt forráskódú hangszerelési eszköz, amelyet ezeknek a tárolóknak a kezelésére használnak.
A bizalmas GKE-csomópontok hozzáadása nagyobb adatvédelmet biztosít a GKE-fürtök futtatásakor. Amikor egy új terméket adtunk a Confidential Computing termékcsaládhoz, új szintet kívántunk biztosítani
adatvédelem és hordozhatóság a konténeres munkaterhelésekhez. A Google bizalmas GKE csomópontjai ugyanarra a technológiára épülnek, mint a bizalmas virtuális gépek, lehetővé téve a memóriában lévő adatok titkosítását az AMD EPYC processzor által generált és kezelt csomópont-specifikus titkosítási kulccsal. Ezek a csomópontok az AMD SEV funkcióján alapuló hardver alapú RAM-titkosítást használnak, ami azt jelenti, hogy az ezeken a csomópontokon futó munkaterhelések titkosítva lesznek, miközben futnak.
Sunil Potti és Eyal Manor, Cloud Engineers, Google
A bizalmas GKE-csomópontokon az ügyfelek konfigurálhatják a GKE-fürtöket, hogy a csomópontkészletek bizalmas virtuális gépeken fussanak. Egyszerűen fogalmazva, az ezeken a csomópontokon futó munkaterhelések titkosítva lesznek az adatok feldolgozása közben.
A támadók elleni védelem érdekében sok vállalatnak még nagyobb adatvédelemre van szüksége nyilvános felhőszolgáltatások használatakor, mint a helyszíni munkaterheléseknél. A Google Cloud Confidential Computing termékcsaládjának kibővítése megemeli ezt a lécet azáltal, hogy a felhasználók számára lehetővé teszi a GKE-fürtök titkosságának biztosítását. Népszerűségét tekintve a Kubernetes kulcsfontosságú előrelépést jelent az iparág számára, több lehetőséget biztosítva a vállalatoknak a következő generációs alkalmazások biztonságos elhelyezésére a nyilvános felhőben.
Holger Mueller, a Constellation Research elemzője.
NB Cégünk frissített intenzív tanfolyamot indít szeptember 28-30 azoknak, akik még nem ismerik a Kubernetes-t, de szeretnének megismerkedni vele és dolgozni szeretnének. Az október 14–16-i esemény után pedig egy frissített programot indítunk tapasztalt Kubernetes-felhasználók számára, akik számára fontos, hogy ismerjék a legújabb gyakorlati megoldásokat a Kubernetes legújabb verzióival és a lehetséges „rake”-vel való munkavégzés során. Tovább Elméletben és gyakorlatban elemezzük a termelésre kész fürt ("a-nem-is-könnyű") telepítésének és konfigurálásának bonyolultságát, az alkalmazások biztonságát és hibatűrését biztosító mechanizmusokat.
A Google többek között azt mondta, hogy a bizalmas virtuális gépei néhány új funkciót kapnak, amint azok mától általánosan elérhetővé válnak. Megjelentek például az ellenőrzési jelentések, amelyek részletes naplókat tartalmaztak az AMD Secure Processor firmware sértetlenség-ellenőrzéséről, amelyet a titkos virtuális gépek egyes példányaihoz használt kulcsok generálására használtak.
A konkrét hozzáférési jogok beállításához további vezérlők is rendelkezésre állnak, és a Google hozzáadta azt a lehetőséget is, hogy letiltson minden besorolatlan virtuális gépet egy adott projekten. A Google a bizalmas virtuális gépeket más adatvédelmi mechanizmusokkal is összekapcsolja a biztonság érdekében.
A megosztott VPC-k tűzfalszabályokkal és szervezeti házirend-korlátozásokkal kombinálva biztosíthatja, hogy a bizalmas virtuális gépek kommunikálni tudjanak más bizalmas virtuális gépekkel, még akkor is, ha különböző projekteken futnak. Ezenkívül a VPC szolgáltatásvezérlők segítségével beállíthatja a bizalmas virtuális gépek GCP-erőforrás-hatókörét.
Sunil Potti és Eyal Manor
Forrás: will.com