Google-მა წარმოადგინა კონფიდენციალური VM-ები Google Cloud Confidential Computing-ისთვის

Google-ში ჩვენ გვჯერა, რომ ღრუბლოვანი გამოთვლების მომავალი სულ უფრო მეტად გადაინაცვლებს კერძო, დაშიფრული სერვისებისკენ, რომლებიც მომხმარებლებს სრულ ნდობას აძლევს მათი მონაცემების კონფიდენციალურობაში.

Google Cloud უკვე შიფრავს კლიენტის მონაცემებს ტრანსპორტირებისა და დასვენების დროს, მაგრამ მათი დამუშავებისთვის მაინც საჭიროა გაშიფვრა. კონფიდენციალური გამოთვლა არის რევოლუციური ტექნოლოგია, რომელიც გამოიყენება დამუშავების დროს მონაცემთა დაშიფვრისთვის. კონფიდენციალური გამოთვლითი გარემო საშუალებას გაძლევთ შეინახოთ დაშიფრული მონაცემები RAM-ში და პროცესორის (CPU) გარეთ სხვა ადგილებში.

კონფიდენციალური VMs ამჟამად ბეტა ტესტირებაშია და არის პირველი პროდუქტი Google Cloud Confidential Computing ხაზიდან. ჩვენ უკვე ვიყენებთ სხვადასხვა იზოლაციისა და ქვიშის ბოქსის ტექნიკას ჩვენს ღრუბლოვან ინფრასტრუქტურაში, რათა უზრუნველვყოთ მრავალბინიანი არქიტექტურის უსაფრთხოება. კონფიდენციალური VM-ები უსაფრთხოებას ამაღლებენ შემდეგ დონეზე, მეხსიერების დაშიფვრის შეთავაზებით, რათა შემდგომში მოხდეს მათი სამუშაო დატვირთვის იზოლირება ღრუბელში, რაც ეხმარება ჩვენს კლიენტებს მგრძნობიარე მონაცემების დაცვაში. ჩვენ ვფიქრობთ, რომ ეს იქნება განსაკუთრებით საინტერესო მათთვის, ვინც მუშაობს რეგულირებად ინდუსტრიებში (შესაძლოა GDPR-ის და სხვა დაკავშირებული საკითხების შესახებ, დაახლ. მთარგმნელი).

ახალი შესაძლებლობების გახსნა

უკვე Asylo-სთან, ღია კოდის პლატფორმასთან კონფიდენციალური გამოთვლებისთვის, ჩვენ ფოკუსირებული ვართ კონფიდენციალური გამოთვლითი გარემოს მარტივად განთავსებაზე და გამოყენებაზე, გთავაზობთ მაღალ შესრულებას და აპლიკაციებს ნებისმიერი დატვირთვისთვის, რომელსაც ირჩევთ ღრუბელში გასაშვებად. ჩვენ გვჯერა, რომ თქვენ არ გჭირდებათ კომპრომისზე წასვლა გამოყენებადობაზე, მოქნილობაზე, შესრულებასა და უსაფრთხოებაზე.

კონფიდენციალური VM-ების ბეტა ვერსიაში შესვლისას, ჩვენ ვართ პირველი მსხვილი ღრუბლოვანი პროვაიდერი, რომელიც ვთავაზობთ უსაფრთხოების და იზოლაციის ამ დონეს და მომხმარებელს ვუწოდებთ მარტივ, ადვილად გამოსაყენებელ ვარიანტს როგორც ახალი, ასევე „პორტირებული“ აპლიკაციებისთვის (ალბათ აპლიკაციების შესახებ, რომლებიც შესაძლებელია ღრუბელში გაშვება მნიშვნელოვანი ცვლილებების გარეშე, დაახლ. მთარგმნელი). ჩვენ გთავაზობთ:

• შეუსაბამო კონფიდენციალურობა: მომხმარებლებს შეუძლიათ დაიცვან თავიანთი მგრძნობიარე მონაცემების კონფიდენციალურობა ღრუბელში, მაშინაც კი, როდესაც ისინი დამუშავებულია. კონფიდენციალური VM-ები იყენებენ მეორე თაობის AMD EPYC პროცესორების უსაფრთხო დაშიფრული ვირტუალიზაციის (SEV) ფუნქციას. თქვენი მონაცემები დაშიფრული რჩება გამოყენების, ინდექსირების, მოთხოვნისა და ტრენინგის დროს. დაშიფვრის გასაღებები იქმნება აპარატში ცალ-ცალკე თითოეული ვირტუალური მანქანისთვის და არასოდეს ტოვებს აპარატურას.

• გაუმჯობესებული ინოვაცია: კონფიდენციალურმა გამოთვლებმა შეიძლება გახსნას დამუშავების სცენარები, რომლებიც ადრე შეუძლებელი იყო. კომპანიებს ახლა შეუძლიათ გააზიარონ საიდუმლო მონაცემების ნაკრები და ითანამშრომლონ ღრუბელში კვლევებზე საიდუმლოების დაცვით.

• კონფიდენციალურობა პორტირებული დატვირთვისთვის: ჩვენი მიზანია გავამარტივოთ კონფიდენციალური გამოთვლები. კონფიდენციალურ VM-ებზე გადასვლა შეუფერხებლად მიმდინარეობს - ვირტუალურ მანქანებში გაშვებული GCP-ის ყველა დატვირთვა შეიძლება გადავიდეს კონფიდენციალურ VM-ებზე. ეს მარტივია - უბრალოდ მონიშნეთ ერთი ყუთი.

• გაფართოებული საფრთხისგან დაცვა: კონფიდენციალური გამოთვლა ეფუძნება დაცული VM-ების დაცვას rootkits-ისგან და bootkits-ისგან, რაც ეხმარება კონფიდენციალურ VM-ში გასაშვებად შერჩეული ოპერაციული სისტემის მთლიანობის უზრუნველყოფას.

კონფიდენციალური VM-ების საფუძვლები

კონფიდენციალური VM-ები მუშაობს N2D ვირტუალურ მანქანებზე, რომლებიც მუშაობენ მეორე თაობის AMD EPYC პროცესორებზე. AMD-ის SEV ფუნქცია უზრუნველყოფს მაღალ შესრულებას ყველაზე მოთხოვნად გამოთვლით დატვირთვაზე, ხოლო ვირტუალური მანქანის ოპერატიული მეხსიერება დაშიფრულია EPYC პროცესორის მიერ გენერირებული და მართული თითო VM გასაღებით. გასაღებები იქმნება AMD Secure Processor კოპროცესორის მიერ, როდესაც იქმნება ვირტუალური მანქანა და განლაგებულია ექსკლუზიურად მასში, რაც მათ მიუწვდომელს ხდის როგორც Google-ისთვის, ასევე სხვა ვირტუალური მანქანებისთვის, რომლებიც მუშაობენ იმავე კვანძზე.

ჩაშენებული ტექნიკის ოპერატიული მეხსიერების დაშიფვრის გარდა, ჩვენ ვაშენებთ კონფიდენციალურ VM-ებს დაცულ VM-ებზე, რათა უზრუნველვყოთ ოპერაციული სისტემის გამოსახულების შეფერხების წინააღმდეგობა, ამოწმებს პროგრამული უზრუნველყოფის, ბირთვის ბინარებისა და დრაივერების მთლიანობას. Google-ის მიერ შემოთავაზებული სურათები მოიცავს Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) და RHEL 8.2. ჩვენ ვმუშაობთ Centos-ზე, Debian-ზე და სხვებზე, რათა შემოგთავაზოთ სხვა ოპერაციული სისტემის სურათები.

ჩვენ ასევე მჭიდროდ ვთანამშრომლობთ AMD Cloud Solution-ის საინჟინრო გუნდთან, რათა დავრწმუნდეთ, რომ ვირტუალური აპარატის მეხსიერების დაშიფვრა გავლენას არ მოახდენს შესრულებაზე. ჩვენ დავამატეთ OSS-ის ახალი დრაივერების მხარდაჭერა (nvme და gvnic), რათა დამუშავდეს შენახვის მოთხოვნები და ქსელის ტრაფიკი უფრო მაღალი გამტარუნარიანობით, ვიდრე ძველი პროტოკოლები. ამან შესაძლებელი გახადა იმის გადამოწმება, რომ კონფიდენციალური ვირტუალური მანქანების შესრულების ინდიკატორები ახლოსაა ჩვეულებრივ ვირტუალურ აპარატებთან.

უსაფრთხო დაშიფრული ვირტუალიზაცია, რომელიც ჩაშენებულია AMD EPYC პროცესორების მეორე თაობაში, უზრუნველყოფს ტექნიკის უსაფრთხოების ინოვაციურ ფუნქციას, რომელიც ეხმარება მონაცემთა დაცვას ვირტუალიზებულ გარემოში. ახალი GCE Confidential VMs N2D-ის მხარდასაჭერად, ჩვენ ვიმუშავეთ Google-თან, რათა დავეხმაროთ კლიენტებს დაიცვან თავიანთი მონაცემები და უზრუნველყონ სამუშაო დატვირთვის შესრულება. ჩვენ მოხარული ვართ, რომ კონფიდენციალური VM-ები აძლევენ იგივე დონის მაღალ შესრულებას სამუშაო დატვირთვის მასშტაბით, როგორც ტიპიური N2D VM-ები.

რაგუ ნამბიარი, ვიცე პრეზიდენტი, მონაცემთა ცენტრის ეკოსისტემა, AMD

თამაშის შეცვლა ტექნოლოგია

კონფიდენციალურმა გამოთვლებმა შეიძლება შეცვალოს, თუ როგორ ამუშავებენ საწარმოები მონაცემებს ღრუბელში, კონფიდენციალურობისა და უსაფრთხოების შენარჩუნებისას. ასევე, სხვა უპირატესობებთან ერთად, კომპანიებს შეეძლებათ ერთად იმუშაონ მონაცემთა ნაკრების საიდუმლოების დარღვევის გარეშე. ასეთმა თანამშრომლობამ, თავის მხრივ, შეიძლება გამოიწვიოს კიდევ უფრო ტრანსფორმაციული ტექნოლოგიებისა და იდეების განვითარება, როგორიცაა ვაქცინების სწრაფი შექმნისა და დაავადებების მკურნალობა ასეთი უსაფრთხო თანამშრომლობის შედეგად.

ჩვენ მოუთმენლად ველით იმ შესაძლებლობებს, რომლებსაც ეს ტექნოლოგია ხსნის თქვენი კომპანიისთვის. შეხედე აქმეტი რომ გაიგოთ.

PS არა პირველად და, იმედია, არც უკანასკნელად, Google გამოუშვებს ტექნოლოგიას, რომელიც ცვლის სამყაროს. როგორც ცოტა ხნის წინ მოხდა Kubernetes-თან. ჩვენ მხარს ვუჭერთ და ვავრცელებთ Goggle ტექნოლოგიებს ჩვენი შესაძლებლობის ფარგლებში და ვამზადებთ IT სპეციალისტებს რუსეთში. ჩვენი კომპანია ერთ-ერთია 3-დან Kubernetes-ის სერტიფიცირებული სერვისის პროვაიდერი და ერთადერთი Kubernetes სასწავლო პარტნიორი რუსეთში. ამიტომ ყოველ გაზაფხულზე და შემოდგომაზე ვატარებთ კუბერნეტესის ინტენსიურ ტრენინგებს. შემდეგი ინტენსიური კურსები 28-30 სექტემბერს ჩატარდება კუბერნეტის ბაზა და 14-16 ოქტომბერს Kubernetes Mega.

წყარო: www.habr.com