A Google-nál úgy gondoljuk, hogy a felhőalapú számítástechnika jövője egyre inkább a privát, titkosított szolgáltatások felé tolódik el, amelyek teljes bizalmat adnak a felhasználóknak adataik védelmében.
A Google Cloud már titkosítja az ügyfelek szállítási és nyugalmi adatait, de a feldolgozáshoz még vissza kell fejteni azokat. Bizalmas számítástechnika egy forradalmi technológia, amelyet az adatok titkosítására használnak a feldolgozás során. A bizalmas számítási környezetek lehetővé teszik a titkosított adatok tárolását a RAM-ban és más, a processzoron (CPU) kívüli helyeken.
A Confidential virtuális gépek jelenleg béta tesztelés alatt állnak, és ez az első termék a Google Cloud Confidential Computing termékcsaládjában. A többbérlős architektúra biztonságának biztosítása érdekében felhő-infrastruktúránkban már használunk különféle elkülönítési és sandbox-technikákat. A bizalmas virtuális gépek a biztonságot a következő szintre emelik azáltal, hogy memórián belüli titkosítást kínálnak a felhőben történő munkaterhelésük további elkülönítésére, segítve ügyfeleinknek az érzékeny adatok védelmét. Úgy gondoljuk, hogy ez különösen érdekelni fogja azokat, akik szabályozott iparágakban dolgoznak (talán a GDPR-ról és más kapcsolódó dolgokról, kb. fordító).
Új lehetőségek megnyitása
Már az Asylóval, a bizalmas számítástechnika nyílt forráskódú platformjával, arra összpontosítottunk, hogy a bizalmas számítástechnikai környezeteket könnyen telepíthetővé és használhatóvá tegyük, nagy teljesítményt és alkalmazást kínálva minden olyan munkaterheléshez, amelyet a felhőben futtatni választ. Hiszünk abban, hogy nem kell kompromisszumot kötnie a használhatóság, a rugalmasság, a teljesítmény és a biztonság terén.
A bizalmas virtuális gépek bétaverzióba lépésével mi vagyunk az első olyan nagy felhőszolgáltatók, akik ilyen szintű biztonságot és elszigeteltséget kínálnak – és egyszerű, könnyen használható lehetőséget biztosítanak ügyfeleinek mind az új, mind a „portolt” alkalmazásokhoz (valószínűleg olyan alkalmazásokhoz, amelyek jelentős változtatások nélkül futtatható felhőben, kb. fordító). Biztosítjuk:
-
Páratlan adatvédelem: Az ügyfelek megvédhetik érzékeny adataik védelmét a felhőben, még azok feldolgozása közben is. A bizalmas virtuális gépek a második generációs AMD EPYC processzorok Secure Encrypted Virtualization (SEV) funkcióját használják ki. Adatai titkosítva maradnak a használat, az indexelés, a lekérdezés és a képzés során. A titkosítási kulcsok minden egyes virtuális géphez külön jönnek létre a hardverben, és soha nem hagyják el a hardvert.
-
Továbbfejlesztett innováció: A bizalmas számítástechnika olyan feldolgozási forgatókönyveket nyithat meg, amelyek korábban nem voltak lehetségesek. A vállalatok mostantól megoszthatnak minősített adatkészleteket, és együttműködhetnek a felhőben végzett kutatásokban, miközben megőrzik a titkosságot.
-
Adatvédelem a hordozott munkaterheléseknél: Célunk a bizalmas számítástechnika egyszerűsítése. A bizalmas virtuális gépekre való áttérés zökkenőmentes – a virtuális gépeken futó GCP összes munkaterhelése áttérhet a bizalmas virtuális gépekre. Egyszerű – csak jelöljön be egy négyzetet.
-
Fejlett fenyegetések elleni védelem: A bizalmas számítástechnika az árnyékolt virtuális gépek rootkitekkel és rendszerindítókészletekkel szembeni védelmére épül, és segít biztosítani a bizalmas virtuális gépben futtatásra kiválasztott operációs rendszer integritását.
A bizalmas virtuális gépek alapjai
A bizalmas virtuális gépek N2D virtuális gépeken futnak, amelyek második generációs AMD EPYC processzorokon futnak. Az AMD SEV funkciója nagy teljesítményt nyújt a legigényesebb számítási munkaterheléseknél, miközben a virtuális gép RAM-ját az EPYC processzor által generált és kezelt virtuális gépenkénti kulccsal titkosítja. A kulcsokat az AMD Secure Processor társprocesszora hozza létre a virtuális gép létrehozásakor, és kizárólag abban helyezkednek el, ami elérhetetlenné teszi a Google és más, ugyanazon a csomóponton futó virtuális gépek számára.
A beépített hardveres RAM-titkosításon kívül bizalmas virtuális gépeket építünk az árnyékolt virtuális gépek tetejére, hogy védelmet nyújtsunk az operációs rendszer lemezképének manipuláció ellen, ellenőrizve a firmware, a kernel bináris fájljai és az illesztőprogramok integritását. A Google által kínált képek közé tartozik az Ubuntu 18.04, az Ubuntu 20.04, a Container Optimized OS (COS v81) és az RHEL 8.2. Dolgozunk a Centos, Debian és másokon, hogy más operációs rendszer-képeket kínáljunk.
Szorosan együttműködünk az AMD Cloud Solution mérnöki csapatával is annak biztosítása érdekében, hogy a virtuális gép memóriájának titkosítása ne befolyásolja a teljesítményt. Támogatást adtunk az új OSS-illesztőprogramokhoz (nvme és gvnic), hogy a tárolási kérelmeket és a hálózati forgalmat a régebbi protokolloknál nagyobb átviteli sebesség mellett kezeljék. Ez lehetővé tette annak ellenőrzését, hogy a bizalmas virtuális gépek teljesítménymutatói közel állnak-e a hagyományos virtuális gépekéihez.
Az AMD EPYC processzorok második generációjába beépített Secure Encrypted Virtualization innovatív hardveres biztonsági funkciót kínál, amely segít megvédeni az adatokat virtualizált környezetben. Az új GCE Confidential virtuális gépek N2D támogatása érdekében együttműködtünk a Google-lal, hogy segítsünk ügyfeleinknek adataik védelmében és munkaterheléseik teljesítésében. Nagy örömünkre szolgál, hogy a bizalmas virtuális gépek ugyanolyan szintű nagy teljesítményt nyújtanak a munkaterhelések között, mint a tipikus N2D virtuális gépek.
Raghu Nambiar, alelnök, adatközponti ökoszisztéma, AMD
Játékváltó technológia
A bizalmas számítástechnika segíthet megváltoztatni a vállalatok adatfeldolgozási módját a felhőben, miközben megőrzi a magánélet védelmét és a biztonságot. Emellett az egyéb előnyök mellett a vállalatok az adatkészletek titkosságának veszélyeztetése nélkül dolgozhatnak együtt. Az ilyen együttműködés viszont még inkább átalakuló technológiák és ötletek kifejlesztéséhez vezethet, például az ilyen biztonságos együttműködés eredményeként gyorsan lehet vakcinákat létrehozni és betegségeket kezelni.
Alig várjuk, hogy láthassuk, milyen lehetőségeket nyit ez a technológia az Ön cége előtt. Néz többet megtudni.
PS Nem először, és remélhetőleg nem is utoljára, a Google olyan technológiát vezet be, amely megváltoztatja a világot. Ahogy nemrég történt Kubernetes esetében is. Támogatjuk és terjesztjük a Goggle technológiákat a legjobb tudásunk szerint, és informatikai szakembereket képezünk Oroszországban. Cégünk a 3 egyike Kubernetes tanúsított szolgáltató és az egyetlen Kubernetes képzési partner Oroszországban. Ezért minden tavasszal és ősszel intenzív Kubernetes edzéseket tartunk. A következő intenzív tanfolyamok szeptember 28-30 és október 14–16 .
Forrás: will.com