Google は、Google Cloud Confidential Computing 用の Confidential VMs を導入しました

Google では、クラウド コンピューティングの将来は、ユーザーが自分のデータのプライバシーに完全な自信を持てるプライベートな暗号化サービスへとますます移行していくと考えています。

Google Cloud は、転送中および保存中の顧客データをすでに暗号化していますが、処理するには復号化する必要があります。 機密コンピューティング は、処理中にデータを暗号化するために使用される革新的なテクノロジーです。 機密コンピューティング環境では、暗号化されたデータを RAM やプロセッサ (CPU) の外部のその他の場所に保存できます。

Confidential VMs は現在ベータ テスト中であり、Google Cloud Confidential Computing ラインの最初の製品です。 当社はすでに、マルチテナント アーキテクチャのセキュリティを確保するために、クラウド インフラストラクチャでさまざまな分離およびサンドボックス技術を使用しています。 Confidential VMs は、クラウド内のワークロードをさらに分離するためのメモリ内暗号化を提供することでセキュリティを次のレベルに引き上げ、お客様が機密データを保護できるように支援します。 これは、規制された業界で働く人にとって特に興味深い内容になると思います (おそらく GDPR やその他の関連事項について、 約。 翻訳者).

新たな可能性を切り開く

すでに、機密コンピューティング用のオープンソース プラットフォームである Asylo を使用して、機密コンピューティング環境を展開して使用しやすくし、クラウドで実行することを選択したあらゆるワークロードに高いパフォーマンスとアプリケーションを提供することに重点を置いてきました。 私たちは、使いやすさ、柔軟性、パフォーマンス、セキュリティについて妥協する必要はないと信じています。

Confidential VMs がベータ版に入ったことにより、当社はこのレベルのセキュリティと分離を提供する最初の大手クラウド プロバイダーとなり、新しいアプリケーションと「移植された」アプリケーションの両方に対してシンプルで使いやすいオプションを顧客に提供します (おそらく、大幅な変更を加えることなくクラウドで実行できます。 約。 翻訳者）。 我々が提供します：

• 比類のないプライバシー: お客様は、処理中であっても、クラウド内の機密データのプライバシーを保護できます。 Confidential VMs は、第 XNUMX 世代 AMD EPYC プロセッサの Secure Encrypted Virtualization (SEV) 機能を利用します。 データは、使用、インデックス作成、クエリ、トレーニング中に暗号化されたままになります。 暗号化キーは仮想マシンごとにハードウェア内で個別に作成され、ハードウェアから外部に流出することはありません。

• イノベーションの向上: Confidential Computing により、以前は不可能だった処理シナリオが可能になります。 企業は機密性を維持しながら、機密データセットを共有し、クラウドで共同研究できるようになりました。

• 移植されたワークロードのプライバシー: 私たちの目標は、機密コンピューティングを簡素化することです。 Confidential VM への移行はシームレスです。仮想マシンで実行されている GCP のすべてのワークロードは Confidential VM に移行できます。 方法は簡単です。XNUMX つのボックスにチェックを入れるだけです。

• Advanced Threat Protection: Confidential Computing は、ルートキットおよびブートキットに対する Shielded VM の保護に基づいて構築されており、Confidential VM で実行するために選択されたオペレーティング システムの整合性を確保するのに役立ちます。

Confidential VM の基本

Confidential VM は、第 2 世代 AMD EPYC プロセッサーで実行される NXNUMXD 仮想マシン上で実行されます。 AMD の SEV 機能は、EPYC プロセッサによって生成および管理される VM ごとのキーで仮想マシンの RAM を暗号化しながら、最も要求の厳しいコンピューティング ワークロードで高いパフォーマンスを実現します。 キーは仮想マシンの作成時に AMD セキュア プロセッサ コプロセッサによって作成され、その中にのみ配置されるため、同じノード上で実行されている Google と他の仮想マシンの両方からキーにアクセスできなくなります。

組み込みのハードウェア RAM 暗号化に加えて、Shielded VM の上に Confidential VM を構築して、オペレーティング システム イメージの改ざん耐性を提供し、ファームウェア、カーネル バイナリ、およびドライバーの整合性を検証します。 Google が提供するイメージには、Ubuntu 18.04、Ubuntu 20.04、Container Optimized OS (COS v81)、および RHEL 8.2 が含まれます。 私たちは、Centos、Debian などの他のオペレーティング システム イメージを提供することに取り組んでいます。

また、当社は AMD クラウド ソリューション エンジニアリング チームと緊密に連携して、仮想マシンのメモリ暗号化がパフォーマンスに影響を与えないように努めています。 新しい OSS ドライバー (nvme および gvnic) のサポートが追加され、古いプロトコルよりも高いスループットでストレージ要求とネットワーク トラフィックを処理できるようになりました。 これにより、Confidential VM の性能指標が通常の仮想マシンの性能指標に近いことが確認できました。

第 2 世代の AMD EPYC プロセッサに組み込まれている Secure Encrypted Virtualization は、仮想化環境でのデータの保護に役立つ革新的なハードウェア セキュリティ機能を提供します。 新しい GCE Con​​fidential VMs N2D をサポートするために、Google は Google と協力して、お客様のデータを保護し、ワークロードのパフォーマンスを確保できるように支援しました。 Confidential VM がワークロード全体で一般的な NXNUMXD VM と同じレベルの高いパフォーマンスを提供することを確認して、私たちは興奮しています。

AMD、データセンター エコシステム担当副社長、Raghu Nambiar 氏

ゲームを変えるテクノロジー

Confidential Computing は、プライバシーとセキュリティを維持しながら、企業がクラウドでデータを処理する方法を変えるのに役立ちます。 また、他の利点として、企業はデータセットの機密性を損なうことなく協力できるようになります。 このようなコラボレーションは、さらに革新的な技術やアイデアの開発につながる可能性があります。たとえば、そのような安全なコラボレーションの結果としてワクチンを迅速に作成し、病気を治療できるようになります。

このテクノロジーが貴社にもたらす機会を楽しみにしています。 見て ここで詳細については。

PS Google が世界を変えるテクノロジーを展開するのはこれが初めてではありませんし、最後ではないことを願っています。 ごく最近 Kubernetes で起こったように。 私たちは、できる限り Goggle テクノロジーをサポートおよび配布し、ロシアで IT スペシャリストを訓練します。 当社は3社のうちのXNUMX社です Kubernetes認定サービスプロバイダー そして唯一の Kubernetes トレーニング パートナー ロシアで。 そのため、私たちは毎年春と秋に集中的な Kubernetes トレーニング セッションを実施しています。 次回の集中講座は28月30日～XNUMX日に開催されます Kubernetes ベース および 14 月 16 ～ XNUMX 日 Kubernetes メガ.

出所： habr.com