גוגל מוסיפה תמיכת Kubernetes למחשוב סודי

TL; DR: כעת תוכל להפעיל את Kubernetes על מכשירי VM חסויים מגוגל.

גוגל היום (08.09.2020/XNUMX/XNUMX, משוער. מְתוּרגְמָן) באירוע Cloud Next OnAir הודיעה על הרחבת קו המוצרים שלה עם השקת שירות חדש.

צמתי GKE חסויים מוסיפים יותר פרטיות לעומסי עבודה הפועלים ב-Kubernetes. ביולי הושק המוצר הראשון שנקרא מכשירי VM חסויים, וכיום המכונות הוירטואליות הללו כבר זמינות לכולם.

מחשוב סודי הוא מוצר חדש הכולל אחסון נתונים בצורה מוצפנת בזמן שהם מעובדים. זוהי החוליה האחרונה בשרשרת הצפנת הנתונים, מכיוון שספקי שירותי ענן כבר מצפינים נתונים פנימה והחוצה. עד לאחרונה היה צורך לפענח נתונים תוך כדי עיבודם, ומומחים רבים רואים בכך חור בולט בתחום הצפנת הנתונים.

יוזמת המחשוב הסודי של גוגל מבוססת על שיתוף פעולה עם Confidential Computing Consortium, קבוצה בתעשייה לקידום הרעיון של סביבות ביצוע מהימנות (TEEs). TEE הוא חלק מאובטח של המעבד שבו הנתונים והקוד הטעונים מוצפנים, מה שאומר שלא ניתן לגשת למידע זה על ידי חלקים אחרים של אותו מעבד.

ה-VMs Confidential של גוגל פועלים על מכונות וירטואליות N2D הפועלות על מעבדי EPYC מהדור השני של AMD, המשתמשים בטכנולוגיית Secure Encrypted Virtualization כדי לבודד מכונות וירטואליות מהמחשב שעליו הן פועלות. ישנה ערובה שהנתונים נשארים מוצפנים ללא קשר לשימוש בו: עומסי עבודה, ניתוחים, בקשות למודלים להדרכה לבינה מלאכותית. מכונות וירטואליות אלו נועדו לענות על הצרכים של כל חברה המטפלת בנתונים רגישים בתחומים מוסדרים כמו תעשיית הבנקאות.

אולי דחופה יותר היא ההכרזה על בדיקת הבטא הקרובה של צמתי GKE סודיים, שלדברי גוגל יוצגו במהדורה הקרובה של 1.18 מנוע Google Kubernetes (GKE). GKE היא סביבה מנוהלת ומוכנה לייצור להפעלת קונטיינרים המארחים חלקים של יישומים מודרניים שניתן להפעיל על פני מספר סביבות מחשוב. Kubernetes הוא כלי תזמור בקוד פתוח המשמש לניהול הקונטיינרים הללו.

הוספת צמתי GKE חסויים מספקת פרטיות רבה יותר בעת הפעלת אשכולות GKE. כאשר הוספנו מוצר חדש לקו המחשוב הסודי, רצינו לספק רמה חדשה של
פרטיות וניידות עבור עומסי עבודה במכולות. צמתי ה-GKE הסודיים של גוגל בנויים על אותה טכנולוגיה כמו ה-VMs Confidential, המאפשרות לך להצפין נתונים בזיכרון באמצעות מפתח הצפנה ספציפי לצומת שנוצר ומנוהל על ידי מעבד AMD EPYC. צמתים אלה ישתמשו בהצפנת RAM מבוססת חומרה המבוססת על תכונת SEV של AMD, מה שאומר שעומסי העבודה שלך הפועלים על הצמתים הללו יוצפנו בזמן שהם פועלים.

סוניל פוטי ואייל מנור, מהנדסי ענן, גוגל

בצמתי GKE חסויים, לקוחות יכולים להגדיר אשכולות GKE כך שמאגרי צמתים יפעלו ב-VMs סודיים. במילים פשוטות, כל עומסי העבודה הפועלים בצמתים אלה יוצפנו בזמן עיבוד הנתונים.

ארגונים רבים דורשים אפילו יותר פרטיות בעת שימוש בשירותי ענן ציבוריים מאשר עבור עומסי עבודה מקומיים הפועלים במקום כדי להגן מפני תוקפים. ההרחבה של Google Cloud של קו המחשוב הסודי שלה מעלה את הרף הזה בכך שהיא מספקת למשתמשים את היכולת לספק סודיות עבור אשכולות GKE. ובהתחשב בפופולריות שלו, Kubernetes הוא צעד מפתח קדימה עבור התעשייה, ומעניק לחברות אפשרויות נוספות לארח בצורה מאובטחת יישומי הדור הבא בענן הציבורי.

הולגר מולר, אנליסט ב-Constellation Research.

נ.ב. חברתנו יוצאת בקורס אינטנסיבי מעודכן בתאריכים 28-30 בספטמבר בסיס Kubernetes למי שעדיין לא מכיר את Kubernetes, אבל רוצה להכיר ולהתחיל לעבוד. ואחרי האירוע הזה ב-14-16 באוקטובר, אנחנו משיקים עדכון Kubernetes Mega למשתמשי Kubernetes מנוסים שחשוב להם להכיר את כל הפתרונות המעשיים העדכניים ביותר בעבודה עם הגרסאות העדכניות ביותר של Kubernetes ו"גרפה" אפשרית. עַל Kubernetes Mega ננתח בתיאוריה ובפועל את המורכבויות של התקנה והגדרת אשכול מוכן לייצור ("הדרך-לא כל כך קלה"), מנגנונים להבטחת אבטחה וסובלנות תקלות של יישומים.

בין היתר, גוגל אמרה כי ה-VMs הסודיים שלה יקבלו כמה תכונות חדשות כשהן יהיו זמינות באופן כללי החל מהיום. לדוגמה, הופיעו דוחות ביקורת המכילים יומנים מפורטים של בדיקת תקינות הקושחה של AMD Secure Processor המשמשת ליצירת מפתחות עבור כל מופע של VMs סודיים.

יש גם פקדים נוספים להגדרת זכויות גישה ספציפיות, וגוגל הוסיפה גם את היכולת להשבית כל מכונה וירטואלית לא מסווגת בפרויקט נתון. גוגל גם מחברת מכשירי VM סודיים עם מנגנוני פרטיות אחרים כדי לספק אבטחה.

אתה יכול להשתמש בשילוב של VPCs משותפים עם כללי חומת אש והגבלות מדיניות ארגוניות כדי להבטיח ש-VMs סודיים יכולים לתקשר עם VMs סודיים אחרים, גם אם הם פועלים בפרויקטים שונים. בנוסף, אתה יכול להשתמש ב-VPC Service Controls כדי להגדיר את היקף המשאבים של GCP עבור ה-VMs הסודיים שלך.

סוניל פוטי ואייל מנור

מקור: www.habr.com