TL; DR: Du kan nå kjøre Kubernetes på fra Google.
Google i dag (08.09.2020/XNUMX/XNUMX, ca. oversetter) på arrangementet annonserte utvidelsen av sin produktlinje med lanseringen av en ny tjeneste.
Konfidensielle GKE-noder gir mer personvern til arbeidsbelastninger som kjører på Kubernetes. I juli ble det første produktet lansert kalt , og i dag er disse virtuelle maskinene allerede offentlig tilgjengelige for alle.
Confidential Computing er et nytt produkt som innebærer lagring av data i kryptert form mens de behandles. Dette er siste ledd i datakrypteringskjeden, siden skytjenesteleverandører allerede krypterer data inn og ut. Inntil nylig var det nødvendig å dekryptere data mens de ble behandlet, og mange eksperter ser på dette som et grelt hull innen datakryptering.
Googles Confidential Computing Initiative er basert på et samarbeid med Confidential Computing Consortium, en industrigruppe for å fremme konseptet Trusted Execution Environments (TEE). TEE er en sikker del av prosessoren der de innlastede dataene og koden er kryptert, noe som betyr at denne informasjonen ikke kan nås av andre deler av samme prosessor.
Googles konfidensielle VM-er kjører på virtuelle N2D-maskiner som kjører på AMDs andre generasjons EPYC-prosessorer, som bruker Secure Encrypted Virtualization-teknologi for å isolere virtuelle maskiner fra hypervisoren de kjører på. Det er en garanti for at dataene forblir krypterte uavhengig av bruken: arbeidsbelastninger, analyser, forespørsler om treningsmodeller for kunstig intelligens. Disse virtuelle maskinene er designet for å møte behovene til ethvert selskap som håndterer sensitive data i regulerte områder som banknæringen.
Kanskje mer presserende er kunngjøringen av den kommende betatesten av konfidensielle GKE-noder, som Google sier vil bli introdusert i den kommende 1.18-utgivelsen (GKE). GKE er et administrert, produksjonsklart miljø for å kjøre containere som er vert for deler av moderne applikasjoner som kan kjøres på tvers av flere datamiljøer. Kubernetes er et åpen kildekode-orkestreringsverktøy som brukes til å administrere disse beholderne.
Å legge til konfidensielle GKE-noder gir større personvern når du kjører GKE-klynger. Når vi la til et nytt produkt til Confidential Computing-linjen, ønsket vi å gi et nytt nivå av
personvern og portabilitet for containeriserte arbeidsmengder. Googles konfidensielle GKE-noder er bygget på samme teknologi som konfidensielle VM-er, slik at du kan kryptere data i minnet ved hjelp av en nodespesifikk krypteringsnøkkel generert og administrert av AMD EPYC-prosessoren. Disse nodene vil bruke maskinvarebasert RAM-kryptering basert på AMDs SEV-funksjon, noe som betyr at arbeidsbelastningene dine som kjører på disse nodene vil bli kryptert mens de kjører.
Sunil Potti og Eyal Manor, Cloud Engineers, Google
På konfidensielle GKE-noder kan kunder konfigurere GKE-klynger slik at nodepooler kjører på konfidensielle VM-er. Enkelt sagt, alle arbeidsbelastninger som kjører på disse nodene vil bli kryptert mens data behandles.
Mange bedrifter krever enda mer personvern når de bruker offentlige skytjenester enn de gjør for lokale arbeidsbelastninger som kjører på stedet for å beskytte mot angripere. Google Clouds utvidelse av Confidential Computing-linjen hever denne baren ved å gi brukerne muligheten til å gi hemmelighold for GKE-klynger. Og gitt sin popularitet, er Kubernetes et viktig skritt fremover for industrien, og gir bedrifter flere muligheter til å sikkert være vert for neste generasjons applikasjoner i den offentlige skyen.
Holger Mueller, analytiker ved Constellation Research.
NB Vårt firma lanserer et oppdatert intensivkurs 28. – 30. september for de som ennå ikke kjenner Kubernetes, men ønsker å bli kjent med det og begynne å jobbe. Og etter dette arrangementet 14.–16. oktober lanserer vi en oppdatert for erfarne Kubernetes-brukere som det er viktig å kjenne til alle de siste praktiske løsningene i arbeidet med de nyeste versjonene av Kubernetes og mulig "rake". På Vi vil analysere i teorien og i praksis vanskelighetene ved å installere og konfigurere en produksjonsklar klynge ("den-ikke-så-lette-måten"), mekanismer for å sikre sikkerhet og feiltoleranse for applikasjoner.
Blant annet sa Google at deres konfidensielle VM-er vil få noen nye funksjoner etter hvert som de blir allment tilgjengelige fra og med i dag. For eksempel dukket det opp revisjonsrapporter som inneholder detaljerte logger over integritetskontrollen av AMD Secure Processor-fastvaren som ble brukt til å generere nøkler for hver forekomst av konfidensielle VM-er.
Det er også flere kontroller for å angi spesifikke tilgangsrettigheter, og Google har også lagt til muligheten til å deaktivere enhver uklassifisert virtuell maskin på et gitt prosjekt. Google kobler også konfidensielle VM-er med andre personvernmekanismer for å gi sikkerhet.
Du kan bruke en kombinasjon av delte VPC-er med brannmurregler og organisasjonspolicybegrensninger for å sikre at Konfidensielle VM-er kan kommunisere med andre Konfidensielle VM-er, selv om de kjører på forskjellige prosjekter. I tillegg kan du bruke VPC Service Controls til å angi GCP-ressursomfanget for dine konfidensielle VM-er.
Sunil Potti og Eyal Manor
Kilde: www.habr.com