TL; DR: Kubernetes を実行できるようになりました Googleから。
Google の今日 (08.09.2020 年 XNUMX 月 XNUMX 日) 約。 翻訳者)イベントで は、新サービスの開始に伴う製品ラインの拡大を発表しました。
機密 GKE ノードにより、Kubernetes 上で実行されるワークロードのプライバシーが強化されます。 XNUMX月に最初の製品が発売されました。 そして現在、これらの仮想マシンはすでに誰でも公開されています。
Confidential Computing は、処理中のデータを暗号化された形式で保存する新しい製品です。 クラウド サービス プロバイダーは既にデータの送受信を暗号化しているため、これはデータ暗号化チェーンの最後のリンクです。 最近まで、データは処理中に復号化する必要がありましたが、多くの専門家はこれがデータ暗号化の分野における明らかな穴であると見ています。
Google の Confidential Computing Initiative は、信頼された実行環境 (TEE) の概念を推進する業界団体である Confidential Computing Consortium との協力に基づいています。 TEE は、ロードされたデータとコードが暗号化されるプロセッサの安全な部分です。これは、同じプロセッサの他の部分からこの情報にアクセスできないことを意味します。
Google の Confidential VM は、AMD の第 2 世代 EPYC プロセッサ上で動作する NXNUMXD 仮想マシン上で実行されます。このプロセッサは、Secure Encrypted Virtualization テクノロジーを使用して、仮想マシンを実行するハイパーバイザから分離します。 ワークロード、分析、人工知能のトレーニング モデルのリクエストなど、データの用途に関係なく、データが暗号化されたままであることが保証されます。 これらの仮想マシンは、銀行業界などの規制領域で機密データを扱う企業のニーズを満たすように設計されています。
おそらく、より緊急なのは、Confidential GKE ノードの今後のベータ テストの発表です。Google によれば、これは次期 1.18 リリースで導入される予定です。 (GKE)。 GKE は、複数のコンピューティング環境間で実行できる最新のアプリケーションの一部をホストするコンテナを実行するための、本番環境に対応したマネージド環境です。 Kubernetes は、これらのコンテナの管理に使用されるオープンソース オーケストレーション ツールです。
Confidential GKE ノードを追加すると、GKE クラスタを実行する際のプライバシーが強化されます。 Confidential Computing ラインに新しい製品を追加するとき、私たちは新しいレベルのサービスを提供したいと考えました。
コンテナ化されたワークロードのプライバシーと移植性。 Google の Confidential GKE ノードは Confidential VM と同じテクノロジーに基づいて構築されており、AMD EPYC プロセッサによって生成および管理されるノード固有の暗号化キーを使用してメモリ内のデータを暗号化できます。 これらのノードは、AMD の SEV 機能に基づくハードウェアベースの RAM 暗号化を使用します。つまり、これらのノードで実行されているワークロードは、実行中に暗号化されます。
Google、クラウド エンジニア、Sunil Potti 氏と Eyal Manor 氏
Confidential GKE ノードでは、ノード プールが Confidential VM 上で実行されるように GKE クラスタを構成できます。 簡単に言えば、これらのノードで実行されているワークロードは、データの処理中に暗号化されます。
多くの企業は、パブリック クラウド サービスを使用する場合、攻撃者から保護するために、オンプレミスで実行されるオンプレミス ワークロードよりもさらに高いプライバシーを必要とします。 Google Cloud の Confidential Computing ラインの拡張により、ユーザーが GKE クラスタに機密性を提供できるようになり、この基準が引き上げられました。 また、その人気を考えると、Kubernetes は業界にとって重要な前進であり、企業にパブリック クラウドで次世代アプリケーションを安全にホストするためのより多くの選択肢を提供します。
ホルガー・ミュラー氏、コンステレーション・リサーチ社アナリスト。
N.B. 当社は28月30日からXNUMX日まで更新された集中コースを開始します。 Kubernetes をまだ知らないが、Kubernetes に慣れて作業を始めたいと考えている人向けです。 そして、14 月 16 ~ XNUMX 日のこのイベントの後、アップデートを開始します。 最新バージョンの Kubernetes と考えられる「rake」を操作する際の最新の実用的なソリューションをすべて知ることが重要な、経験豊富な Kubernetes ユーザー向けです。 の上 私たちは、本番環境に対応したクラスター (「それほど簡単ではない方法」) のインストールと構成の複雑さ、アプリケーションのセキュリティとフォールト トレランスを確保するためのメカニズムを理論と実際に分析します。
とりわけ、Google は、同社の Confidential VMs が今日から一般提供される際に、いくつかの新機能を追加すると述べました。 たとえば、Confidential VM の各インスタンスのキーを生成するために使用される AMD セキュア プロセッサ ファームウェアの整合性チェックの詳細なログを含む監査レポートが表示されました。
特定のアクセス権を設定するためのコントロールも強化されており、Google は特定のプロジェクト上の未分類の仮想マシンを無効にする機能も追加しました。 Google はまた、Confidential VM を他のプライバシー メカニズムと接続してセキュリティを提供します。
共有 VPC とファイアウォール ルールおよび組織ポリシー制限を組み合わせて使用すると、Confidential VM が別のプロジェクトで実行されている場合でも、他の Confidential VM と確実に通信できるようになります。 さらに、VPC Service Controls を使用して、Confidential VM の GCP リソース スコープを設定できます。
スニル・ポッティとエヤル・マナー
出所: habr.com