Við hjá Google teljum að framtíð tölvuskýja muni í auknum mæli breytast í átt að einkarekinni, dulkóðuðu þjónustu sem veitir notendum fullkomið traust á friðhelgi gagna sinna.
Google Cloud dulkóðar nú þegar gögn viðskiptavina í flutningi og í hvíld, en samt þarf að afkóða þau til að vinna úr þeim. Trúnaðarmál er byltingarkennd tækni sem notuð er til að dulkóða gögn við vinnslu. Trúnaðarumhverfi gerir þér kleift að geyma dulkóðuð gögn í vinnsluminni og öðrum stöðum utan örgjörvans (CPU).
Confidential VMs er nú í beta prófun og er fyrsta varan í Google Cloud Confidential Computing línunni. Við notum nú þegar ýmsar einangrunar- og sandkassatækni í skýjainnviðum okkar til að tryggja öryggi fjölleiga byggingarlistar. Trúnaðar VMs taka öryggi á næsta stig með því að bjóða upp á dulkóðun í minni til að einangra vinnuálag þeirra enn frekar í skýinu og hjálpa viðskiptavinum okkar að vernda viðkvæm gögn. Við teljum að þetta muni vera sérstaklega áhugavert fyrir þá sem starfa í eftirlitsskyldum atvinnugreinum (kannski um GDPR og annað tengt, ca. þýðandi).
Að opna nýja möguleika
Þegar með Asylo, opnum uppsprettu vettvangi fyrir trúnaðartölvu, höfum við einbeitt okkur að því að gera trúnaðarumhverfi auðvelt í notkun og notkun, bjóða upp á mikla afköst og notkun fyrir hvaða vinnuálag sem þú velur að keyra í skýinu. Við teljum að þú þurfir ekki að gefa eftir varðandi notagildi, sveigjanleika, frammistöðu og öryggi.
Þar sem trúnaðarvinatölvur fara inn í beta, erum við fyrsti stóri skýjaveitan til að bjóða upp á þetta öryggi og einangrun – og veita viðskiptavinum einfaldan, auðnotanlegan valmöguleika fyrir bæði ný forrit og „port“ (líklega um forrit sem hægt að keyra í skýinu án teljandi breytinga, ca. þýðandi). Við bjóðum upp á:
-
Óviðjafnanlegt næði: Viðskiptavinir geta verndað friðhelgi viðkvæmra gagna sinna í skýinu, jafnvel á meðan verið er að vinna úr þeim. Trúnaðarlegir VMs nýta Secure Encrypted Virtualization (SEV) eiginleika annarrar kynslóðar AMD EPYC örgjörva. Gögnin þín eru áfram dulkóðuð við notkun, flokkun, fyrirspurnir og þjálfun. Dulkóðunarlyklar eru búnir til í vélbúnaðinum sérstaklega fyrir hverja sýndarvél og fara aldrei úr vélbúnaðinum.
-
Bætt nýsköpun: Trúnaðarmál geta opnað vinnsluatburðarás sem áður var ekki möguleg. Fyrirtæki geta nú deilt flokkuðum gagnasöfnum og unnið saman að rannsóknum í skýinu á meðan haldið er leynd.
-
Persónuvernd fyrir flutt vinnuálag: Markmið okkar er að einfalda trúnaðartölvu. Umskiptin yfir í trúnaðarvinatölvur eru óaðfinnanlegar - allt vinnuálag í GCP sem keyrir í sýndarvélum getur flutt yfir í trúnaðarvinatölvur. Það er einfalt - hakaðu bara við einn reit.
-
Háþróuð ógnunarvörn: Trúnaðartölvur byggja á vernd skjaldaðra VMs gegn rootkits og bootkits, sem hjálpar til við að tryggja heilleika stýrikerfisins sem valið er til að keyra í Confidential VM.
Grunnatriði trúnaðarlegra VMs
Trúnaðarlegir VMs keyra á N2D sýndarvélum sem keyra á annarri kynslóð AMD EPYC örgjörva. SEV eiginleiki AMD skilar miklum afköstum á krefjandi tölvuvinnuálagi á sama tíma og hann heldur vinnsluminni sýndarvélarinnar dulkóðuðu með per-VM lykli sem myndaður er og stjórnað af EPYC örgjörvanum. Lyklarnir eru búnir til af AMD Secure Processor hjálpargjörva þegar sýndarvélin er búin til og eru eingöngu staðsettir í henni, sem gerir þá óaðgengilega fyrir bæði Google og aðrar sýndarvélar sem keyra á sama hnút.
Til viðbótar við innbyggða vinnsluminni dulkóðun vélbúnaðar, smíðum við trúnaðarvinatölvur ofan á skjölduðum VM til að veita stýrikerfismyndinni þol gegn innbroti, til að sannreyna heiðarleika fastbúnaðar, kjarna binar og rekla. Myndir sem Google býður upp á eru Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) og RHEL 8.2. Við erum að vinna á Centos, Debian og fleirum til að bjóða upp á aðrar stýrikerfismyndir.
Við vinnum einnig náið með AMD Cloud Solution verkfræðiteymi til að tryggja að dulkóðun sýndarvélaminni hafi ekki áhrif á frammistöðu. Við höfum bætt við stuðningi við nýja OSS rekla (nvme og gvnic) til að takast á við geymslubeiðnir og netumferð með meiri afköst en eldri samskiptareglur. Þetta gerði það að verkum að hægt var að sannreyna að frammistöðuvísar trúnaðarlegra VMs séu nálægt þeim sem eru á venjulegum sýndarvélum.
Örugg dulkóðuð sýndarvæðing, innbyggð í aðra kynslóð AMD EPYC örgjörva, býður upp á nýstárlegan vélbúnaðaröryggiseiginleika sem hjálpar til við að vernda gögn í sýndarumhverfi. Til að styðja við nýja GCE Confidential VM N2D, unnum við með Google til að hjálpa viðskiptavinum að vernda gögn sín og tryggja frammistöðu vinnuálags þeirra. Við erum mjög ánægð með að sjá að trúnaðarvinir skila sömu afköstum yfir vinnuálag og dæmigerðir N2D VM.
Raghu Nambiar, varaforseti, vistkerfi gagnavera, AMD
Leikur Breyting tækni
Trúnaðarmál geta hjálpað til við að breyta því hvernig fyrirtæki vinna úr gögnum í skýinu á sama tíma og friðhelgi einkalífs og öryggi er viðhaldið. Einnig, meðal annarra ávinninga, munu fyrirtæki geta unnið saman án þess að skerða leynd gagnasafna. Slíkt samstarf getur aftur á móti leitt til þróunar á enn umbreytandi tækni og hugmyndum, svo sem getu til að búa til bóluefni á fljótlegan hátt og meðhöndla sjúkdóma vegna slíkrar öruggrar samvinnu.
Við getum ekki beðið eftir að sjá tækifærin sem þessi tækni opnar fyrir fyrirtæki þitt. Sjáðu til til að komast að meira.
PS Ekki í fyrsta skipti, og vonandi ekki það síðasta, Google setur út tækni sem breytir heiminum. Eins og gerðist með Kubernetes alveg nýlega. Við styðjum og dreifum Goggle tækni eftir bestu getu og þjálfum upplýsingatæknisérfræðinga í Rússlandi. Fyrirtækið okkar er eitt af 3 Kubernetes löggiltur þjónustuaðili og sá eini Kubernetes þjálfunarfélagi í Rússlandi. Þess vegna höldum við öflugum Kubernetes þjálfun á hverju vori og hausti. Næstu hraðnámskeið verða haldin 28. – 30. september og 14.–16. október .
Heimild: www.habr.com