ProHoster > Blogs > Administrācija > Google pievieno Kubernetes atbalstu konfidenciālajai skaitļoŔanai

Google pievieno Kubernetes atbalstu konfidenciālajai skaitļoŔanai

TL; DR: Tagad varat palaist Kubernetes Konfidenciālas virtuālās maŔīnas no Google.

Google pievieno Kubernetes atbalstu konfidenciālajai skaitļoŔanai

Google Å”odien (08.09.2020/XNUMX/XNUMX, apm. tulkotājs) pasākumā Cloud Next OnAir paziņoja par savas produktu lÄ«nijas paplaÅ”ināŔanu, ievieÅ”ot jaunu pakalpojumu.

Konfidenciālie GKE mezgli nodroÅ”ina lielāku konfidencialitāti darba slodzēm, kas darbojas Kubernetes. JÅ«lijā tika laists klajā pirmais produkts ar nosaukumu Konfidenciālas virtuālās maŔīnas, un Å”odien Ŕīs virtuālās maŔīnas jau ir publiski pieejamas ikvienam.

Confidential Computing ir jauns produkts, kas ietver datu uzglabāŔanu Å”ifrētā veidā, kamēr tie tiek apstrādāti. Å is ir pēdējais posms datu Å”ifrÄ“Å”anas ķēdē, jo mākoņpakalpojumu sniedzēji jau Å”ifrē datus. Vēl nesen bija nepiecieÅ”ams atÅ”ifrēt datus, kā tie tika apstrādāti, un daudzi eksperti to uzskata par acÄ«mredzamu caurumu datu Å”ifrÄ“Å”anas jomā.

Google konfidenciālās skaitļoÅ”anas iniciatÄ«vas pamatā ir sadarbÄ«ba ar Confidential Computing Consortium ā€” nozares grupu, kas veicina uzticamas izpildes vides (TEE) koncepciju. TEE ir droÅ”a procesora daļa, kurā tiek Å”ifrēti ielādētie dati un kods, kas nozÄ«mē, ka Å”ai informācijai nevar piekļūt citas tā paÅ”a procesora daļas.

Google konfidenciālās virtuālās maŔīnas darbojas N2D virtuālajās maŔīnās, kurās darbojas AMD otrās paaudzes EPYC procesori, kas izmanto droŔās Å”ifrētās virtualizācijas tehnoloÄ£iju, lai izolētu virtuālās maŔīnas no hipervizora, kurā tās darbojas. Ir garantija, ka dati paliek Å”ifrēti neatkarÄ«gi no to izmantoÅ”anas: darba slodzes, analÄ«tika, mākslÄ«gā intelekta apmācÄ«bas modeļu pieprasÄ«jumi. Å Ä«s virtuālās maŔīnas ir izstrādātas, lai apmierinātu jebkura uzņēmuma vajadzÄ«bas, kas apstrādā sensitÄ«vus datus regulētās jomās, piemēram, banku nozarē.

Iespējams, vēl aktuālāks ir paziņojums par gaidāmo konfidenciālo GKE mezglu beta testÄ“Å”anu, kas, pēc Google teiktā, tiks ieviesta gaidāmajā 1.18 laidienā. Google Kubernetes dzinējs (GKE). GKE ir pārvaldÄ«ta, ražoÅ”anai gatava vide konteineru darbināŔanai, kas mitina modernu lietojumprogrammu daļas, kuras var darbināt vairākās skaitļoÅ”anas vidēs. Kubernetes ir atvērtā pirmkoda orÄ·estrÄ“Å”anas rÄ«ks, ko izmanto Å”o konteineru pārvaldÄ«bai.

Konfidenciālu GKE mezglu pievienoÅ”ana nodroÅ”ina lielāku privātumu, palaižot GKE klasterus. Pievienojot jaunu produktu Confidential Computing lÄ«nijai, mēs vēlējāmies nodroÅ”ināt jaunu lÄ«meni
privātums un pārnesamÄ«ba konteinerizētām darba slodzēm. Google konfidenciālie GKE mezgli ir veidoti, izmantojot to paÅ”u tehnoloÄ£iju kā konfidenciālie virtuālie datori, kas ļauj Å”ifrēt datus atmiņā, izmantojot mezglam raksturÄ«gu Å”ifrÄ“Å”anas atslēgu, ko Ä£enerē un pārvalda AMD EPYC procesors. Å ajos mezglos tiks izmantota aparatÅ«ras RAM Å”ifrÄ“Å”ana, kuras pamatā ir AMD SEV funkcija, kas nozÄ«mē, ka jÅ«su darba slodze, kas darbojas Å”ajos mezglos, tiks Å”ifrēta, kamēr tie darbojas.

Sunils Poti un Eialas muiža, mākoņu inženieri, Google

Konfidenciālajos GKE mezglos klienti var konfigurēt GKE klasterus, lai mezglu pÅ«li darbotos konfidenciālajās virtuālajās maŔīnās. VienkārÅ”i sakot, visas darba slodzes, kas darbojas Å”ajos mezglos, tiks Å”ifrētas, kamēr dati tiek apstrādāti.

Daudziem uzņēmumiem, izmantojot publiskos mākoņpakalpojumus, ir nepiecieÅ”ams vēl lielāks privātums nekā lokālai darba slodzei, kas darbojas uz vietas, lai aizsargātu pret uzbrucējiem. Google Cloud paplaÅ”ināŔana konfidenciālās skaitļoÅ”anas lÄ«nijai paaugstina Å”o latiņu, sniedzot lietotājiem iespēju nodroÅ”ināt GKE klasteru slepenÄ«bu. Un, ņemot vērā tā popularitāti, Kubernetes ir svarÄ«gs solis uz priekÅ”u nozarē, sniedzot uzņēmumiem vairāk iespēju droÅ”i mitināt nākamās paaudzes lietojumprogrammas publiskajā mākonÄ«.

Holger Mueller, Constellation Research analītiķis.

NB MÅ«su uzņēmums no 28. lÄ«dz 30. septembrim uzsāk atjaunoto intensÄ«vo kursu Kubernetes bāze tiem, kas vēl nezina Kubernetes, bet vēlas ar to iepazÄ«ties un sākt strādāt. Un pēc Ŕī pasākuma no 14. lÄ«dz 16. oktobrim mēs uzsākam atjauninātu Kubernetes Mega pieredzējuÅ”iem Kubernetes lietotājiem, kuriem svarÄ«gi zināt visus jaunākos praktiskos risinājumus darbā ar jaunākajām Kubernetes versijām un iespējamo ā€œgrābekliā€. Ieslēgts Kubernetes Mega Mēs teorētiski un praktiski analizēsim ražoÅ”anai gatava klastera (ā€œne tik vienkārÅ”ais veidsā€) instalÄ“Å”anas un konfigurÄ“Å”anas sarežģītÄ«bas, lietojumprogrammu droŔības un kļūdu tolerances nodroÅ”ināŔanas mehānismus.

Cita starpā Google paziņoja, ka tās konfidenciālās virtuālās maŔīnas iegÅ«s dažas jaunas funkcijas, jo tās kļūs vispārēji pieejamas no Å”odienas. Piemēram, tika parādÄ«ti audita ziņojumi, kas satur detalizētus žurnālus par AMD Secure Processor programmaparatÅ«ras integritātes pārbaudi, kas izmantota, lai Ä£enerētu atslēgas katram konfidenciālu virtuālo maŔīnu gadÄ«jumam.

Ir arÄ« vairāk vadÄ«klu konkrētu piekļuves tiesÄ«bu iestatÄ«Å”anai, un Google ir arÄ« pievienojis iespēju konkrētajā projektā atspējot jebkuru neklasificētu virtuālo maŔīnu. Google arÄ« savieno konfidenciālās virtuālās maŔīnas ar citiem konfidencialitātes mehānismiem, lai nodroÅ”inātu droŔību.

Varat izmantot koplietotu VPC kombināciju ar ugunsmÅ«ra kārtulām un organizācijas politikas ierobežojumiem, lai nodroÅ”inātu, ka konfidenciālās virtuālās maŔīnas var sazināties ar citām konfidenciālajām virtuālajām maŔīnām, pat ja tās darbojas dažādos projektos. Turklāt varat izmantot VPC pakalpojumu vadÄ«klas, lai iestatÄ«tu GCP resursu tvērumu savām konfidenciālajām virtuālajām maŔīnām.

Sunils Poti un Eialas muiža

Avots: www.habr.com

Pievieno komentāru