Di Google, kami percaya bahwa masa depan komputasi awan akan semakin beralih ke layanan pribadi dan terenkripsi yang memberikan kepercayaan penuh kepada pengguna terhadap privasi data mereka.
Google Cloud sudah mengenkripsi data pelanggan saat transit dan saat disimpan, namun masih perlu didekripsi agar dapat diproses. Komputasi rahasia adalah teknologi revolusioner yang digunakan untuk mengenkripsi data selama pemrosesan. Lingkungan komputasi rahasia memungkinkan Anda menyimpan data terenkripsi dalam RAM dan tempat lain di luar prosesor (CPU).
VM Rahasia saat ini sedang dalam pengujian beta dan merupakan produk pertama dalam lini Komputasi Rahasia Google Cloud. Kami telah menggunakan berbagai teknik isolasi dan sandboxing di infrastruktur cloud kami untuk memastikan keamanan arsitektur multi-penyewa. VM Rahasia meningkatkan keamanan ke tingkat berikutnya dengan menawarkan enkripsi dalam memori untuk lebih mengisolasi beban kerja mereka di cloud, sehingga membantu pelanggan kami melindungi data sensitif. Kami rasa hal ini akan menjadi perhatian khusus bagi mereka yang bekerja di industri yang diatur (mungkin tentang GDPR dan hal terkait lainnya, kira-kira Penerjemah).
Membuka kemungkinan baru
Dengan Asylo, platform sumber terbuka untuk komputasi rahasia, kami berfokus untuk membuat lingkungan komputasi rahasia mudah diterapkan dan digunakan, menawarkan kinerja dan aplikasi tinggi untuk beban kerja apa pun yang Anda pilih untuk dijalankan di cloud. Kami yakin Anda tidak perlu berkompromi pada kegunaan, fleksibilitas, kinerja, dan keamanan.
Dengan memasuki tahap beta VM Rahasia, kami adalah penyedia cloud besar pertama yang menawarkan tingkat keamanan dan isolasi iniβdan memberi pelanggan opsi sederhana dan mudah digunakan untuk aplikasi baru dan aplikasi "porting" (mungkin tentang aplikasi yang dapat dijalankan di cloud tanpa perubahan signifikan, kira-kira Penerjemah). Kami menyediakan:
-
Privasi tak tertandingi: Pelanggan dapat melindungi privasi data sensitif mereka di cloud, bahkan saat data tersebut sedang diproses. VM Rahasia memanfaatkan fitur Secure Encrypted Virtualization (SEV) dari prosesor AMD EPYC generasi kedua. Data Anda tetap terenkripsi selama penggunaan, pengindeksan, pembuatan kueri, dan pelatihan. Kunci enkripsi dibuat di perangkat keras secara terpisah untuk setiap mesin virtual dan tidak pernah meninggalkan perangkat keras.
-
Peningkatan Inovasi: Komputasi rahasia dapat membuka skenario pemrosesan yang sebelumnya tidak mungkin dilakukan. Perusahaan kini dapat berbagi kumpulan data rahasia dan berkolaborasi dalam penelitian di cloud dengan tetap menjaga kerahasiaan.
-
Privasi untuk Beban Kerja yang Diporting: Tujuan kami adalah menyederhanakan komputasi rahasia. Transisi ke VM Rahasia berjalan lancar - semua beban kerja di GCP yang berjalan di mesin virtual dapat bermigrasi ke VM Rahasia. Sederhana saja - cukup centang satu kotak.
-
Perlindungan Ancaman Tingkat Lanjut: Komputasi rahasia dibangun berdasarkan perlindungan VM Terlindung terhadap rootkit dan bootkit, membantu memastikan integritas sistem operasi yang dipilih untuk dijalankan di VM Rahasia.
Dasar-dasar VM Rahasia
VM rahasia dijalankan pada mesin virtual N2D yang dijalankan pada prosesor AMD EPYC generasi kedua. Fitur SEV AMD memberikan kinerja tinggi pada beban kerja komputasi yang paling menuntut sekaligus menjaga RAM mesin virtual terenkripsi dengan kunci per-VM yang dihasilkan dan dikelola oleh prosesor EPYC. Kunci dibuat oleh koprosesor AMD Secure Processor saat mesin virtual dibuat dan ditempatkan secara eksklusif di dalamnya, sehingga tidak dapat diakses oleh Google dan mesin virtual lain yang berjalan pada node yang sama.
Selain enkripsi RAM perangkat keras bawaan, kami membangun VM Rahasia di atas VM Terlindung untuk menyediakan image sistem operasi yang tahan terhadap gangguan, pemeriksaan integritas firmware, binari kernel, dan driver. Gambar yang ditawarkan oleh Google antara lain Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) dan RHEL 8.2. Kami sedang mengerjakan Centos, Debian, dan lainnya untuk menawarkan image sistem operasi lain.
Kami juga bekerja sama dengan tim teknik AMD Cloud Solution untuk memastikan bahwa enkripsi memori mesin virtual tidak berdampak pada kinerja. Kami telah menambahkan dukungan untuk driver OSS baru (nvme dan gvnic) untuk menangani permintaan penyimpanan dan lalu lintas jaringan pada throughput yang lebih tinggi dibandingkan protokol lama. Hal ini memungkinkan untuk memverifikasi bahwa indikator kinerja VM Rahasia mendekati indikator kinerja mesin virtual biasa.
Virtualisasi Terenkripsi Aman, yang dibangun pada prosesor AMD EPYC generasi kedua, menyediakan fitur keamanan perangkat keras inovatif yang membantu melindungi data dalam lingkungan virtual. Untuk mendukung VM Rahasia GCE N2D yang baru, kami bekerja sama dengan Google untuk membantu pelanggan melindungi data mereka dan memastikan performa beban kerja mereka. Kami sangat senang melihat VM Rahasia memberikan tingkat performa tinggi yang sama di seluruh beban kerja seperti VM N2D pada umumnya.
Raghu Nambiar, Wakil Presiden, Ekosistem Pusat Data, AMD
Teknologi Pengubah Permainan
Komputasi rahasia dapat membantu mengubah cara perusahaan memproses data di cloud dengan tetap menjaga privasi dan keamanan. Selain itu, di antara manfaat lainnya, perusahaan akan dapat bekerja sama tanpa mengorbankan kerahasiaan kumpulan data. Kolaborasi tersebut, pada gilirannya, dapat mengarah pada pengembangan teknologi dan ide yang lebih transformatif, seperti kemampuan untuk membuat vaksin dan mengobati penyakit dengan cepat sebagai hasil dari kolaborasi yang aman tersebut.
Kami tidak sabar untuk melihat peluang yang dibuka teknologi ini bagi perusahaan Anda. Lihat untuk mengetahui lebih lanjut.
PS Bukan untuk pertama kalinya, dan semoga bukan yang terakhir, Google meluncurkan teknologi yang mengubah dunia. Seperti yang terjadi pada Kubernetes baru-baru ini. Kami mendukung dan mendistribusikan teknologi Goggle dengan kemampuan terbaik kami dan melatih spesialis TI di Rusia. Perusahaan kami adalah salah satu dari 3 Penyedia Layanan Bersertifikasi Kubernetes dan satu-satunya Mitra Pelatihan Kubernetes di Rusia. Itu sebabnya kami mengadakan sesi pelatihan Kubernetes intensif setiap musim semi dan musim gugur. Kursus intensif berikutnya akan dilaksanakan pada 28-30 September dan 14-16 Oktober .
Sumber: www.habr.com