Google компаниясында біз бұлтты есептеулердің болашағы пайдаланушыларға деректерінің құпиялылығына толық сенімділік беретін жеке, шифрланған қызметтерге көбірек ауысатынына сенеміз.
Google Cloud транзит кезінде және демалыс кезінде тұтынушы деректерін шифрлайды, бірақ оны өңдеу үшін әлі де шифрын шешу қажет. Құпия есептеу өңдеу кезінде деректерді шифрлау үшін қолданылатын революциялық технология болып табылады. Құпия есептеу орталары шифрланған деректерді жедел жадта және процессордан (CPU) тыс басқа жерлерде сақтауға мүмкіндік береді.
Құпиялық виртуалды құрылғылар қазір бета-сынақта және Google Cloud Confidential Computing желісіндегі бірінші өнім болып табылады. Көп жалға алушы архитектурасының қауіпсіздігін қамтамасыз ету үшін бұлттық инфрақұрылымымызда әртүрлі оқшаулау және құмсалғыш әдістерін қолданып жатырмыз. Құпиялық виртуалды құрылғылар бұлттағы жұмыс жүктемелерін одан әрі оқшаулау үшін жадтағы шифрлауды ұсына отырып, тұтынушыларымызға құпия деректерді қорғауға көмектесу арқылы қауіпсіздікті келесі деңгейге көтереді. Бұл реттелетін салаларда жұмыс істейтіндерге ерекше қызығушылық тудырады деп ойлаймыз (мүмкін GDPR және басқа да қатысты нәрселер туралы, шамамен. аудармашы).
Жаңа мүмкіндіктерді ашу
Құпия есептеулерге арналған ашық бастапқы платформа Asylo арқылы біз бұлтта іске қосуды таңдаған кез келген жұмыс жүктемесі үшін жоғары өнімділік пен қолданбаны ұсына отырып, құпия есептеу орталарын орналастыру мен пайдалануды жеңілдетуге назар аудардық. Сізге ыңғайлылық, икемділік, өнімділік және қауіпсіздік бойынша ымыраға келудің қажеті жоқ деп санаймыз.
Құпиялық виртуалды құрылғылардың бета нұсқасына кіруімен біз қауіпсіздік пен оқшаулаудың осы деңгейін ұсынатын алғашқы ірі бұлттық провайдерміз және тұтынушыларға жаңа қолданбалар үшін де, «тасымалдалған» қолданбалар үшін де қарапайым, қолдануға оңай опцияны ұсынамыз (мүмкін бұлтта айтарлықтай өзгерістерсіз іске қосылуы мүмкін, шамамен. аудармашы). Біз қамтамасыз етеміз:
-
Теңдессіз құпиялылық: Тұтынушылар бұлттағы құпия деректерінің құпиялылығын олар өңделіп жатқанда да қорғай алады. Құпиялық виртуалды құрылғылар екінші буын AMD EPYC процессорларының Secure Encrypted Virtualization (SEV) мүмкіндігін пайдаланады. Пайдалану, индекстеу, сұрау және оқыту кезінде деректеріңіз шифрланған күйінде қалады. Шифрлау кілттері аппараттық құралда әрбір виртуалды машина үшін бөлек жасалады және ешқашан жабдықтан шықпайды.
-
Жақсартылған инновация: құпия есептеулер бұрын мүмкін болмаған өңдеу сценарийлерін аша алады. Енді компаниялар құпиялылықты сақтай отырып, құпия деректер жиынын бөлісе алады және бұлттағы зерттеулерде бірлесіп жұмыс істей алады.
-
Портталған жұмыс жүктемелерінің құпиялылығы: Біздің мақсатымыз - құпия есептеулерді жеңілдету. Құпия виртуалды машиналарға көшу үздіксіз - виртуалды машиналарда жұмыс істейтін GCP ішіндегі барлық жұмыс жүктемелері Құпия виртуалды виртуалды құрылғыларға көшуі мүмкін. Бұл қарапайым - тек бір ұяшықты белгілеңіз.
-
Жетілдірілген қауіптен қорғау: Құпия есептеулер Құпия VM жүйесінде іске қосу үшін таңдалған операциялық жүйенің тұтастығын қамтамасыз етуге көмектесетін руткиттер мен жүктеу жинақтарынан қорғалған виртуалды компьютерлерді қорғауға негізделеді.
Құпия VM негіздері
Құпиялық виртуалды машиналар екінші буындағы AMD EPYC процессорларында жұмыс істейтін N2D виртуалды машиналарында жұмыс істейді. AMD компаниясының SEV мүмкіндігі EPYC процессорымен жасалған және басқарылатын әр VM кілтімен шифрланған виртуалды машинаның жедел жадын сақтай отырып, ең талап етілетін есептеу жұмыс жүктемелерінде жоғары өнімділікті қамтамасыз етеді. Кілттерді AMD Secure Processor сопроцессоры виртуалды машина жасалған кезде жасайды және тек оның ішінде орналасады, бұл оларды Google үшін де, бір түйінде жұмыс істейтін басқа виртуалды машиналар үшін де қолжетімсіз етеді.
Кірістірілген аппараттық ЖЖҚ шифрлауына қоса, микробағдарламаның, ядролық екілік файлдардың және драйверлердің тұтастығын тексеретін операциялық жүйе кескінін өзгертуге қарсы тұруды қамтамасыз ету үшін Қорғалған виртуалды компьютерлердің үстіне Құпия виртуалды виртуалды құрылғыларды құрастырамыз. Google ұсынған кескіндерге Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) және RHEL 8.2 кіреді. Біз басқа операциялық жүйе кескіндерін ұсыну үшін Centos, Debian және басқалармен жұмыс істеп жатырмыз.
Виртуалды машина жады шифрлау өнімділікке әсер етпейтініне көз жеткізу үшін біз сондай-ақ AMD Cloud Solution инженерлік тобымен тығыз жұмыс жасаймыз. Ескі протоколдарға қарағанда жоғары өткізу қабілетімен сақтау сұрауларын және желілік трафикті өңдеу үшін жаңа OSS драйверлеріне (nvme және gvnic) қолдау қостық. Бұл Confidential VMs өнімділік көрсеткіштері кәдімгі виртуалды машиналар көрсеткіштеріне жақын екенін тексеруге мүмкіндік берді.
AMD EPYC процессорларының екінші буынына кіріктірілген Secure Encrypted Virtualization виртуалды ортада деректерді қорғауға көмектесетін инновациялық аппараттық қауіпсіздік мүмкіндігін қамтамасыз етеді. Жаңа GCE Confidential VMs N2D қолдау көрсету үшін біз тұтынушыларға деректерін қорғауға және олардың жұмыс жүктемелерінің өнімділігін қамтамасыз етуге көмектесу үшін Google-мен жұмыс істедік. Біз Құпия виртуалды құрылғылардың жұмыс жүктемелері бойынша әдеттегі N2D VM құрылғыларымен бірдей жоғары өнімділік деңгейін қамтамасыз ететініне өте қуаныштымыз.
Рагу Намбиар, AMD деректер орталығының экожүйесінің вице-президенті
Ойын өзгерту технологиясы
Құпия есептеулер құпиялылық пен қауіпсіздікті сақтай отырып, кәсіпорындардың бұлттағы деректерді өңдеу әдісін өзгертуге көмектеседі. Сондай-ақ, басқа артықшылықтармен қатар, компаниялар деректер жиынының құпиялылығын бұзбай бірге жұмыс істей алады. Мұндай ынтымақтастық, өз кезегінде, қауіпсіз ынтымақтастықтың нәтижесінде вакциналарды жылдам жасау және ауруларды емдеу мүмкіндігі сияқты бұдан да трансформациялық технологиялар мен идеялардың дамуына әкелуі мүмкін.
Бұл технология сіздің компанияңызға ашатын мүмкіндіктерді көруді күте алмаймыз. Қараңыз көбірек білу үшін.
PS Google әлемді өзгертетін технологияны бірінші рет емес және соңғысы емес деп үміттенемін. Жақында Кубернетеспен болғандай. Біз Goggle технологияларын қолымыздан келгенше қолдаймыз және таратамыз және IT мамандарын Ресейде оқытамыз. Біздің компания 3 компанияның бірі Kubernetes сертификатталған қызмет провайдері және жалғыз Kubernetes оқыту серіктесі Ресейде. Сондықтан біз әр көктемде және күзде Kubernetes қарқынды жаттығуларын өткіземіз. Келесі қарқынды курстар 28-30 қыркүйекте өтеді және 14-16 қазан .
Ақпарат көзі: www.habr.com