TL; DR: U kunt nu Kubernetes uitvoeren van Google.
Google vandaag (08.09.2020/XNUMX/XNUMX, ca. vertaler) op het evenement kondigde de uitbreiding van zijn productlijn aan met de lancering van een nieuwe dienst.
Vertrouwelijke GKE-nodes voegen meer privacy toe aan workloads die op Kubernetes draaien. In juli werd het eerste product gelanceerd genaamd , en vandaag de dag zijn deze virtuele machines al voor iedereen openbaar beschikbaar.
Confidential Computing is een nieuw product waarbij gegevens in gecodeerde vorm worden opgeslagen terwijl deze worden verwerkt. Dit is de laatste schakel in de keten van gegevensversleuteling, aangezien aanbieders van clouddiensten gegevens al in- en uitgaand versleutelen. Tot voor kort was het nodig om gegevens te ontsleutelen terwijl deze werden verwerkt, en veel experts zien dit als een flagrant gat op het gebied van gegevensversleuteling.
Het Confidential Computing Initiative van Google is gebaseerd op een samenwerking met het Confidential Computing Consortium, een branchegroep die het concept van Trusted Execution Environments (TEE's) promoot. TEE is een beveiligd onderdeel van de processor waarin de geladen gegevens en code versleuteld zijn, waardoor deze informatie niet toegankelijk is voor andere delen van dezelfde processor.
De Confidential VM's van Google draaien op virtuele N2D-machines die draaien op AMD's EPYC-processors van de tweede generatie, die Secure Encrypted Virtualization-technologie gebruiken om virtuele machines te isoleren van de hypervisor waarop ze draaien. Er is een garantie dat de gegevens gecodeerd blijven, ongeacht het gebruik ervan: werklasten, analyses, verzoeken om trainingsmodellen voor kunstmatige intelligentie. Deze virtuele machines zijn ontworpen om te voldoen aan de behoeften van elk bedrijf dat gevoelige gegevens verwerkt in gereguleerde gebieden zoals de banksector.
Wellicht dringender is de aankondiging van de komende bètatests van Confidential GKE-nodes, die volgens Google in de komende release 1.18 zullen worden geïntroduceerd. (GKE). GKE is een beheerde, productieklare omgeving voor het uitvoeren van containers waarin delen van moderne applicaties worden gehost die over meerdere computeromgevingen kunnen worden uitgevoerd. Kubernetes is een open source-orkestratietool die wordt gebruikt om deze containers te beheren.
Het toevoegen van vertrouwelijke GKE-knooppunten biedt meer privacy bij het uitvoeren van GKE-clusters. Toen we een nieuw product aan de Confidential Computing-lijn toevoegden, wilden we een nieuw niveau bieden
privacy en draagbaarheid voor gecontaineriseerde workloads. De Confidential GKE-nodes van Google zijn gebouwd op dezelfde technologie als Confidential VM's, waardoor u gegevens in het geheugen kunt versleutelen met behulp van een node-specifieke coderingssleutel die wordt gegenereerd en beheerd door de AMD EPYC-processor. Deze knooppunten maken gebruik van op hardware gebaseerde RAM-versleuteling op basis van de SEV-functie van AMD, wat betekent dat uw werklasten die op deze knooppunten worden uitgevoerd, worden gecodeerd terwijl ze actief zijn.
Sunil Potti en Eyal Manor, cloudingenieurs, Google
Op vertrouwelijke GKE-knooppunten kunnen klanten GKE-clusters zo configureren dat knooppuntpools op vertrouwelijke VM's worden uitgevoerd. Simpel gezegd: alle workloads die op deze knooppunten worden uitgevoerd, worden gecodeerd terwijl de gegevens worden verwerkt.
Veel ondernemingen hebben bij het gebruik van publieke clouddiensten nog meer privacy nodig dan bij on-premise workloads die ter bescherming tegen aanvallers ter plaatse worden uitgevoerd. De uitbreiding van de Confidential Computing-lijn door Google Cloud legt deze lat hoger door gebruikers de mogelijkheid te bieden geheimhouding te bieden voor GKE-clusters. En gezien zijn populariteit is Kubernetes een belangrijke stap voorwaarts voor de sector, waardoor bedrijven meer mogelijkheden krijgen om applicaties van de volgende generatie veilig te hosten in de publieke cloud.
Holger Mueller, analist bij Constellation Research.
NB Ons bedrijf lanceert van 28 tot 30 september een vernieuwde intensieve cursus voor wie Kubernetes nog niet kent, maar er wel kennis mee wil maken en aan de slag wil. En na dit evenement op 14 en 16 oktober lanceren we een bijgewerkte versie voor ervaren Kubernetes-gebruikers voor wie het belangrijk is om de nieuwste praktische oplossingen te kennen in het werken met de nieuwste versies van Kubernetes en mogelijke “rake”. Op We zullen in theorie en in de praktijk de complexiteit analyseren van het installeren en configureren van een productieklaar cluster (“de-niet-zo-gemakkelijke-manier”), mechanismen voor het garanderen van de veiligheid en fouttolerantie van applicaties.
Google zei onder meer dat zijn Confidential VM’s een aantal nieuwe functies zullen krijgen zodra ze vanaf vandaag algemeen beschikbaar komen. Er verschenen bijvoorbeeld auditrapporten met gedetailleerde logboeken van de integriteitscontrole van de AMD Secure Processor-firmware die werd gebruikt om sleutels te genereren voor elk exemplaar van vertrouwelijke VM's.
Er zijn ook meer bedieningselementen voor het instellen van specifieke toegangsrechten, en Google heeft ook de mogelijkheid toegevoegd om elke niet-geclassificeerde virtuele machine voor een bepaald project uit te schakelen. Google verbindt vertrouwelijke VM's ook met andere privacymechanismen om beveiliging te bieden.
U kunt een combinatie van gedeelde VPC's met firewallregels en organisatiebeleidsbeperkingen gebruiken om ervoor te zorgen dat vertrouwelijke VM's kunnen communiceren met andere vertrouwelijke VM's, zelfs als ze op verschillende projecten draaien. Bovendien kunt u VPC Service Controls gebruiken om het GCP-resourcebereik voor uw vertrouwelijke VM's in te stellen.
Sunil Potti en Eyal Manor
Bron: www.habr.com