Google ამატებს Kubernetes-ის მხარდაჭერას Confidential Computing-ში

TL; DR: ახლა შეგიძლიათ Kubernetes-ის გაშვება კონფიდენციალური VM-ები Google– დან.

Google დღეს (08.09.2020/XNUMX/XNUMX, დაახლ. მთარგმნელი) ღონისძიებაზე Cloud Next OnAir გამოაცხადა პროდუქციის ხაზის გაფართოება ახალი სერვისის ამოქმედებით.

კონფიდენციალური GKE კვანძები დამატებით კონფიდენციალურობას მატებს Kubernetes-ზე გაშვებულ სამუშაო დატვირთვას. ივლისში გამოვიდა პირველი პროდუქტი ე.წ კონფიდენციალური VM-ებიდა დღეს ეს ვირტუალური მანქანები უკვე საჯაროდ ხელმისაწვდომია ყველასთვის.

Confidential Computing არის ახალი პროდუქტი, რომელიც გულისხმობს მონაცემთა დაშიფრული ფორმით შენახვას მისი დამუშავების დროს. ეს არის ბოლო რგოლი მონაცემთა დაშიფვრის ჯაჭვში, ვინაიდან ღრუბლოვანი სერვისის პროვაიდერები უკვე შიფრავენ მონაცემებს შიგნით და გარეთ. ბოლო დრომდე საჭირო იყო მონაცემების გაშიფვრა დამუშავების დროს და ბევრი ექსპერტი ამას ხედავს, როგორც თვალწარმტაცი ხვრელს მონაცემთა დაშიფვრის სფეროში.

Google-ის კონფიდენციალური გამოთვლითი ინიციატივა ეფუძნება თანამშრომლობას Confidential Computing Consortium-თან, ინდუსტრიულ ჯგუფთან, რომელიც მიზნად ისახავს სანდო აღსრულების გარემოს (TEEs) კონცეფციის პოპულარიზაციას. TEE არის პროცესორის უსაფრთხო ნაწილი, რომელშიც ჩატვირთული მონაცემები და კოდი დაშიფრულია, რაც ნიშნავს, რომ ამ ინფორმაციაზე წვდომა შეუძლებელია იმავე პროცესორის სხვა ნაწილებისთვის.

Google-ის კონფიდენციალური VM-ები მუშაობს N2D ვირტუალურ მანქანებზე, რომლებიც მუშაობენ AMD-ის მეორე თაობის EPYC პროცესორებზე, რომლებიც იყენებენ უსაფრთხო დაშიფრული ვირტუალიზაციის ტექნოლოგიას ვირტუალური მანქანების იზოლირებისთვის ჰიპერვიზორისგან, რომელზეც ისინი მუშაობენ. არსებობს გარანტია, რომ მონაცემები დაშიფრული რჩება მისი გამოყენების მიუხედავად: დატვირთვა, ანალიტიკა, ხელოვნური ინტელექტის ტრენინგის მოდელების მოთხოვნა. ეს ვირტუალური მანქანები შექმნილია ნებისმიერი კომპანიის საჭიროებების დასაკმაყოფილებლად, რომელიც ამუშავებს მგრძნობიარე მონაცემებს რეგულირებულ სფეროებში, როგორიცაა საბანკო ინდუსტრია.

ალბათ უფრო აქტუალურია კონფიდენციალური GKE კვანძების ბეტა ტესტირების შესახებ განცხადება, რომელიც Google-ის თქმით, დაინერგება მომავალ 1.18 გამოშვებაში. Google Kubernetes Engine (GKE). GKE არის მართული, წარმოებისთვის მზა გარემო კონტეინერების გასაშვებად, რომელიც მასპინძლობს თანამედროვე აპლიკაციების ნაწილებს, რომლებიც შეიძლება გაშვებული იყოს მრავალ გამოთვლით გარემოში. Kubernetes არის ღია კოდის ორკესტრირების ინსტრუმენტი, რომელიც გამოიყენება ამ კონტეინერების მართვისთვის.

კონფიდენციალური GKE კვანძების დამატება უზრუნველყოფს უფრო მეტ კონფიდენციალურობას GKE კლასტერების გაშვებისას. Confidential Computing ხაზში ახალი პროდუქტის დამატებისას გვინდოდა ახალი დონის მიწოდება
კონფიდენციალურობა და პორტაბელურობა კონტეინერირებული სამუშაო დატვირთვისთვის. Google-ის კონფიდენციალური GKE კვანძები აგებულია იმავე ტექნოლოგიაზე, როგორც კონფიდენციალური VM-ები, რაც საშუალებას გაძლევთ დაშიფროთ მონაცემები მეხსიერებაში სპეციფიკური კვანძის დაშიფვრის გასაღების გამოყენებით, რომელიც გენერირებული და მართავს AMD EPYC პროცესორის მიერ. ეს კვანძები გამოიყენებენ აპარატურაზე დაფუძნებულ RAM-ის დაშიფვრას AMD-ის SEV ფუნქციის საფუძველზე, რაც ნიშნავს, რომ ამ კვანძებზე გაშვებული თქვენი სამუშაო დატვირთვა დაშიფრული იქნება მათი მუშაობის დროს.

Sunil Potti და Eyal Manor, Cloud Engineers, Google

კონფიდენციალურ GKE კვანძებზე მომხმარებელს შეუძლია GKE კლასტერების კონფიგურაცია ისე, რომ კვანძების აუზები იმუშაონ კონფიდენციალურ VM-ებზე. მარტივად რომ ვთქვათ, ამ კვანძებზე გაშვებული ნებისმიერი დატვირთვა დაშიფრული იქნება მონაცემების დამუშავებისას.

ბევრ საწარმოს კიდევ უფრო მეტი კონფიდენციალურობა სჭირდება საჯარო ღრუბლოვანი სერვისების გამოყენებისას, ვიდრე შიდა სამუშაო დატვირთვისთვის, რომელიც მუშაობს შენობაში თავდამსხმელებისგან დასაცავად. Google Cloud-ის მიერ მისი კონფიდენციალური გამოთვლითი ხაზის გაფართოება ამაღლებს ამ ბარიერს მომხმარებლებს GKE კლასტერებისთვის საიდუმლოების უზრუნველყოფის შესაძლებლობით. და მისი პოპულარობიდან გამომდინარე, Kubernetes არის მთავარი წინგადადგმული ნაბიჯი ინდუსტრიისთვის, რაც კომპანიებს აძლევს მეტ ვარიანტს, რათა უსაფრთხოდ უმასპინძლონ ახალი თაობის აპლიკაციებს საჯარო ღრუბელში.

ჰოლგერ მიულერი, Constellation Research-ის ანალიტიკოსი.

NB ჩვენი კომპანია განახლებულ ინტენსიურ კურსს იწყებს 28-30 სექტემბერს კუბერნეტის ბაზა მათთვის, ვინც ჯერ არ იცნობს Kubernetes, მაგრამ სურს გაეცნოს მას და დაიწყოს მუშაობა. და ამ ღონისძიების შემდეგ, 14-16 ოქტომბერს, ჩვენ ვიწყებთ განახლებას Kubernetes Mega Kubernetes-ის გამოცდილი მომხმარებლებისთვის, რომლებისთვისაც მნიშვნელოვანია იცოდნენ ყველა უახლესი პრაქტიკული გადაწყვეტილებები Kubernetes-ის უახლეს ვერსიებთან მუშაობისას და შესაძლო „რაკი“. ჩართულია Kubernetes Mega ჩვენ გავაანალიზებთ თეორიულად და პრაქტიკაში წარმოებისთვის მზა კლასტერის ინსტალაციისა და კონფიგურაციის სირთულეებს ("არც ისე იოლი გზა"), მექანიზმებს უსაფრთხოებისა და აპლიკაციების შეცდომების ტოლერანტობის უზრუნველსაყოფად.

სხვა საკითხებთან ერთად, Google-მა თქვა, რომ მისი კონფიდენციალური VM-ები მიიღებენ ახალ ფუნქციებს, რადგან ისინი საყოველთაოდ ხელმისაწვდომი გახდება დღეიდან. მაგალითად, გამოჩნდა აუდიტის ანგარიშები, რომლებიც შეიცავს AMD Secure Processor firmware-ის მთლიანობის შემოწმების დეტალურ ჟურნალს, რომელიც გამოიყენება კონფიდენციალური VM-ების თითოეული ინსტანციის გასაღებების შესაქმნელად.

ასევე არსებობს მეტი კონტროლი კონკრეტული წვდომის უფლებების დასაყენებლად და Google-მა ასევე დაამატა შესაძლებლობა გამორთოს ნებისმიერი არაკლასიფიცირებული ვირტუალური მანქანა მოცემულ პროექტზე. Google ასევე აკავშირებს კონფიდენციალურ VM-ებს სხვა კონფიდენციალურობის მექანიზმებთან უსაფრთხოების უზრუნველსაყოფად.

თქვენ შეგიძლიათ გამოიყენოთ გაზიარებული VPC-ების კომბინაცია firewall-ის წესებით და ორგანიზაციის პოლიტიკის შეზღუდვებით, რათა დარწმუნდეთ, რომ კონფიდენციალურ VM-ებს შეუძლიათ დაუკავშირდნენ სხვა კონფიდენციალურ VM-ებს, მაშინაც კი, თუ ისინი მუშაობენ სხვადასხვა პროექტებზე. გარდა ამისა, შეგიძლიათ გამოიყენოთ VPC სერვისის კონტროლი თქვენი კონფიდენციალური VM-ებისთვის GCP რესურსის ფარგლების დასაყენებლად.

სუნილ პოტი და ეიალ მანორი

წყარო: www.habr.com