TL; DR: ora puoi eseguire Kubernetes da Google.
Google oggi (08.09.2020/XNUMX/XNUMX, ca. traduttore) all'evento ha annunciato l'espansione della propria linea di prodotti con il lancio di un nuovo servizio.
I nodi GKE riservati aggiungono maggiore privacy ai carichi di lavoro in esecuzione su Kubernetes. A luglio è stato lanciato il primo prodotto chiamato , e oggi queste macchine virtuali sono già pubblicamente disponibili a tutti.
Confidential Computing è un nuovo prodotto che prevede l'archiviazione dei dati in forma crittografata durante l'elaborazione. Questo è l’ultimo anello della catena di crittografia dei dati, poiché i fornitori di servizi cloud già crittografano i dati in entrata e in uscita. Fino a poco tempo fa era necessario decrittografare i dati durante l’elaborazione e molti esperti vedono in questo un evidente buco nel campo della crittografia dei dati.
La Confidential Computing Initiative di Google si basa su una collaborazione con il Confidential Computing Consortium, un gruppo industriale che promuove il concetto di Trusted Execution Environments (TEE). TEE è una parte sicura del processore in cui i dati e il codice caricati sono crittografati, il che significa che queste informazioni non sono accessibili ad altre parti dello stesso processore.
Le VM riservate di Google vengono eseguite su macchine virtuali N2D che utilizzano processori EPYC di seconda generazione di AMD, che utilizzano la tecnologia Secure Encrypted Virtualization per isolare le macchine virtuali dall'hypervisor su cui vengono eseguite. C'è la garanzia che i dati rimangano crittografati indipendentemente dal loro utilizzo: carichi di lavoro, analisi, richieste di modelli di addestramento per l'intelligenza artificiale. Queste macchine virtuali sono progettate per soddisfare le esigenze di qualsiasi azienda che gestisce dati sensibili in settori regolamentati come il settore bancario.
Forse più urgente è l'annuncio dell'imminente beta testing dei nodi Confidential GKE, che secondo Google sarà introdotto nella prossima versione 1.18 (GKE). GKE è un ambiente gestito e pronto per la produzione per l'esecuzione di contenitori che ospitano parti di applicazioni moderne che possono essere eseguite su più ambienti informatici. Kubernetes è uno strumento di orchestrazione open source utilizzato per gestire questi contenitori.
L'aggiunta di nodi GKE riservati garantisce una maggiore privacy durante l'esecuzione dei cluster GKE. Quando abbiamo aggiunto un nuovo prodotto alla linea Confidential Computing, volevamo fornire un nuovo livello di
privacy e portabilità per carichi di lavoro containerizzati. I nodi Confidential GKE di Google sono basati sulla stessa tecnologia delle Confidential VM, consentendoti di crittografare i dati in memoria utilizzando una chiave di crittografia specifica del nodo generata e gestita dal processore AMD EPYC. Questi nodi utilizzeranno la crittografia RAM basata su hardware basata sulla funzionalità SEV di AMD, il che significa che i carichi di lavoro in esecuzione su questi nodi verranno crittografati mentre sono in esecuzione.
Sunil Potti e Eyal Manor, ingegneri cloud, Google
Sui nodi Confidential GKE, i clienti possono configurare i cluster GKE in modo che i pool di nodi vengano eseguiti su VM riservate. In poche parole, tutti i carichi di lavoro in esecuzione su questi nodi verranno crittografati durante l'elaborazione dei dati.
Molte aziende richiedono una privacy ancora maggiore quando utilizzano i servizi cloud pubblici rispetto a quanto richiedono per i carichi di lavoro locali eseguiti in locale per proteggersi dagli attacchi. L'espansione della linea Confidential Computing di Google Cloud alza questo livello fornendo agli utenti la possibilità di garantire la segretezza per i cluster GKE. E data la sua popolarità, Kubernetes rappresenta un passo avanti fondamentale per il settore, offrendo alle aziende più opzioni per ospitare in modo sicuro le applicazioni di prossima generazione nel cloud pubblico.
Holger Mueller, analista presso Constellation Research.
NB La nostra azienda lancerà un corso intensivo aggiornato dal 28 al 30 settembre per chi ancora non conosce Kubernetes, ma vuole conoscerlo e iniziare a lavorare. E dopo questo evento del 14-16 ottobre, lanceremo un aggiornamento per utenti esperti di Kubernetes per i quali è importante conoscere tutte le ultime soluzioni pratiche per lavorare con le ultime versioni di Kubernetes e possibili "rake". SU Analizzeremo in teoria e in pratica le complessità dell'installazione e della configurazione di un cluster pronto per la produzione ("il modo non così facile"), i meccanismi per garantire la sicurezza e la tolleranza agli errori delle applicazioni.
Tra le altre cose, Google ha affermato che le sue Confidential VM acquisiranno alcune nuove funzionalità non appena diventeranno generalmente disponibili a partire da oggi. Ad esempio, sono apparsi rapporti di controllo contenenti registri dettagliati del controllo di integrità del firmware AMD Secure Processor utilizzato per generare chiavi per ciascuna istanza di Confidential VM.
Ci sono anche più controlli per impostare diritti di accesso specifici e Google ha anche aggiunto la possibilità di disabilitare qualsiasi macchina virtuale non classificata su un determinato progetto. Google collega inoltre le VM riservate ad altri meccanismi di privacy per garantire la sicurezza.
Puoi utilizzare una combinazione di VPC condivisi con regole firewall e restrizioni dei criteri dell'organizzazione per garantire che le VM riservate possano comunicare con altre VM riservate, anche se sono in esecuzione su progetti diversi. Inoltre, puoi utilizzare i controlli di servizio VPC per impostare l'ambito delle risorse GCP per le tue VM riservate.
Sunil Potti e Eyal Manor
Fonte: habr.com