Noi di Google crediamo che il futuro del cloud computing si sposterà sempre più verso servizi privati e crittografati che offrano agli utenti la massima fiducia nella privacy dei propri dati.
Google Cloud crittografa già i dati dei clienti in transito e inattivi, ma devono ancora essere decrittografati per essere elaborati. Informatica riservata è una tecnologia rivoluzionaria utilizzata per crittografare i dati durante l'elaborazione. Gli ambienti informatici riservati consentono di archiviare dati crittografati nella RAM e in altri luoghi esterni al processore (CPU).
Confidential VMs è attualmente in fase di beta testing ed è il primo prodotto della linea Google Cloud Confidential Computing. Utilizziamo già varie tecniche di isolamento e sandboxing nella nostra infrastruttura cloud per garantire la sicurezza di un'architettura multi-tenant. Le VM riservate portano la sicurezza a un livello superiore offrendo la crittografia in memoria per isolare ulteriormente i carichi di lavoro nel cloud, aiutando i nostri clienti a proteggere i dati sensibili. Pensiamo che questo sarà di particolare interesse per coloro che lavorano in settori regolamentati (magari riguardo al GDPR e altre cose correlate, ca. traduttore).
Aprendo nuove possibilità
Già con Asylo, la piattaforma open source per l'elaborazione riservata, ci siamo concentrati sul rendere gli ambienti informatici riservati facili da implementare e utilizzare, offrendo prestazioni e applicazioni elevate per qualsiasi carico di lavoro che scegli di eseguire nel cloud. Crediamo che non sia necessario scendere a compromessi in termini di usabilità, flessibilità, prestazioni e sicurezza.
Con l'entrata in versione beta delle Confidential VM, siamo il primo grande fornitore di servizi cloud a offrire questo livello di sicurezza e isolamento e a fornire ai clienti un'opzione semplice e facile da usare sia per le nuove applicazioni che per quelle "portate" (probabilmente per le applicazioni che può essere eseguito nel cloud senza modifiche significative, ca. traduttore). Noi forniamo:
-
Privacy senza pari: i clienti possono proteggere la privacy dei propri dati sensibili nel cloud, anche durante l'elaborazione. Le VM riservate sfruttano la funzionalità SEV (Secure Encrypted Virtualization) dei processori AMD EPYC di seconda generazione. I tuoi dati rimangono crittografati durante l'uso, l'indicizzazione, l'esecuzione di query e l'addestramento. Le chiavi di crittografia vengono create nell'hardware separatamente per ciascuna macchina virtuale e non lasciano mai l'hardware.
-
Innovazione migliorata: il computing riservato può aprire scenari di elaborazione che prima non erano possibili. Le aziende ora possono condividere set di dati classificati e collaborare alla ricerca nel cloud mantenendo la segretezza.
-
Privacy per i carichi di lavoro trasferiti: il nostro obiettivo è semplificare l'elaborazione riservata. La transizione alle VM riservate è semplice: tutti i carichi di lavoro in GCP in esecuzione su macchine virtuali possono migrare alle VM riservate. È semplice: basta selezionare una casella.
-
Protezione avanzata dalle minacce: l'elaborazione riservata si basa sulla protezione delle VM schermate contro rootkit e bootkit, contribuendo a garantire l'integrità del sistema operativo selezionato per l'esecuzione nella VM riservata.
Nozioni di base sulle VM riservate
Le VM riservate vengono eseguite su macchine virtuali N2D eseguite su processori AMD EPYC di seconda generazione. La funzionalità SEV di AMD offre prestazioni elevate sui carichi di lavoro di elaborazione più impegnativi mantenendo la RAM della macchina virtuale crittografata con una chiave per VM generata e gestita dal processore EPYC. Le chiavi vengono create dal coprocessore AMD Secure Processor al momento della creazione della macchina virtuale e si trovano esclusivamente al suo interno, il che le rende inaccessibili sia a Google che ad altre macchine virtuali in esecuzione sullo stesso nodo.
Oltre alla crittografia RAM hardware integrata, creiamo VM riservate su VM schermate per fornire resistenza alla manomissione dell'immagine del sistema operativo, verificando l'integrità del firmware, dei file binari del kernel e dei driver. Le immagini offerte da Google includono Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) e RHEL 8.2. Stiamo lavorando su Centos, Debian e altri per offrire altre immagini di sistemi operativi.
Lavoriamo inoltre a stretto contatto con il team tecnico di AMD Cloud Solution per garantire che la crittografia della memoria della macchina virtuale non influisca sulle prestazioni. Abbiamo aggiunto il supporto per i nuovi driver OSS (nvme e gvnic) per gestire le richieste di archiviazione e il traffico di rete con un throughput più elevato rispetto ai protocolli precedenti. Ciò ha permesso di verificare che gli indicatori di prestazione delle Confidential VM sono vicini a quelli delle normali macchine virtuali.
Secure Encrypted Virtualization, integrato nella seconda generazione di processori AMD EPYC, fornisce un'innovativa funzionalità di sicurezza hardware che aiuta a proteggere i dati in un ambiente virtualizzato. Per supportare le nuove VM GCE Confidential N2D, abbiamo collaborato con Google per aiutare i clienti a proteggere i propri dati e garantire le prestazioni dei propri carichi di lavoro. Siamo molto lieti di vedere che le VM riservate offrono lo stesso livello di prestazioni elevate tra i carichi di lavoro delle tipiche VM N2D.
Raghu Nambiar, Vicepresidente, Ecosistema data center, AMD
Tecnologia che cambia le regole del gioco
L'elaborazione riservata può aiutare a cambiare il modo in cui le aziende elaborano i dati nel cloud mantenendo al tempo stesso privacy e sicurezza. Inoltre, tra gli altri vantaggi, le aziende potranno lavorare insieme senza compromettere la segretezza dei set di dati. Tale collaborazione, a sua volta, può portare allo sviluppo di tecnologie e idee ancora più trasformative, come la capacità di creare rapidamente vaccini e curare malattie come risultato di una collaborazione così sicura.
Non vediamo l'ora di scoprire le opportunità che questa tecnologia offrirà alla tua azienda. Aspetto per saperne di più
PS Non per la prima volta, e si spera non per l’ultima, Google lancia una tecnologia che cambia il mondo. Come è successo con Kubernetes di recente. Supportiamo e distribuiamo le tecnologie Goggle al meglio delle nostre capacità e formiamo specialisti IT in Russia. La nostra azienda è una delle 3 Fornitore di servizi certificato Kubernetes e l'unico Partner di formazione Kubernetes in Russia. Ecco perché conduciamo sessioni di formazione intensive su Kubernetes ogni primavera e autunno. I prossimi corsi intensivi si terranno il 28-30 settembre e dal 14 al 16 ottobre .
Fonte: habr.com