Hos Google tror vi at fremtiden for cloud computing i økende grad vil skifte mot private, krypterte tjenester som gir brukere full tillit til personvernet til dataene deres.
Google Cloud krypterer allerede kundedata under overføring og hvile, men de må fortsatt dekrypteres for å bli behandlet. Konfidensiell databehandling er en revolusjonerende teknologi som brukes til å kryptere data under behandling. Konfidensielle datamiljøer lar deg lagre krypterte data i RAM og andre steder utenfor prosessoren (CPU).
Confidential VMs er for tiden i betatesting og er det første produktet i Google Cloud Confidential Computing-linjen. Vi bruker allerede ulike isolasjons- og sandboksteknikker i skyinfrastrukturen vår for å sikre sikkerheten til en arkitektur med flere leietakere. Konfidensielle VM-er tar sikkerheten til neste nivå ved å tilby kryptering i minnet for ytterligere å isolere arbeidsbelastningen deres i skyen, og hjelper kundene våre med å beskytte sensitive data. Vi tror dette vil være spesielt interessant for de som jobber i regulerte bransjer (kanskje om GDPR og andre relaterte ting, ca. oversetter).
Åpner nye muligheter
Allerede med Asylo, åpen kildekode-plattformen for konfidensiell databehandling, har vi fokusert på å gjøre konfidensielle datamiljøer enkle å distribuere og bruke, og tilbyr høy ytelse og applikasjon for enhver arbeidsmengde du velger å kjøre i skyen. Vi mener at du ikke trenger å gå på akkord med brukervennlighet, fleksibilitet, ytelse og sikkerhet.
Med konfidensielle virtuelle maskiner som går inn i beta, er vi den første store skyleverandøren som tilbyr dette nivået av sikkerhet og isolasjon – og gir kundene et enkelt, brukervennlig alternativ for både nye applikasjoner og "porterte" (sannsynligvis om applikasjoner som kan kjøres i skyen uten vesentlige endringer, ca. oversetter). Vi skaffer:
-
Uovertruffen personvern: Kunder kan beskytte personvernet til sine sensitive data i skyen, selv mens de behandles. Konfidensielle VM-er utnytter funksjonen Secure Encrypted Virtualization (SEV) til andre generasjons AMD EPYC-prosessorer. Dataene dine forblir kryptert under bruk, indeksering, spørring og opplæring. Krypteringsnøkler opprettes i maskinvaren separat for hver virtuell maskin og forlater aldri maskinvaren.
-
Forbedret innovasjon: Konfidensiell databehandling kan åpne for behandlingsscenarier som tidligere ikke var mulig. Bedrifter kan nå dele klassifiserte datasett og samarbeide om forskning i skyen mens de opprettholder hemmelighold.
-
Personvern for porterte arbeidsbelastninger: Målet vårt er å forenkle konfidensiell databehandling. Overgangen til konfidensielle VM-er er sømløs – alle arbeidsbelastninger i GCP som kjører på virtuelle maskiner kan migrere til konfidensielle VM-er. Det er enkelt - bare kryss av i én boks.
-
Avansert trusselbeskyttelse: Konfidensiell databehandling bygger på beskyttelsen av skjermede VM-er mot rootkits og bootkits, og bidrar til å sikre integriteten til operativsystemet som er valgt til å kjøre i den konfidensielle VM-en.
Grunnleggende om konfidensielle VM-er
Konfidensielle VM-er kjører på virtuelle N2D-maskiner som kjører på andregenerasjons AMD EPYC-prosessorer. AMDs SEV-funksjon leverer høy ytelse på de mest krevende dataarbeidsbelastningene samtidig som den holder virtuell maskin RAM kryptert med en per-VM-nøkkel generert og administrert av EPYC-prosessoren. Nøklene lages av AMD Secure Processor-koprosessoren når den virtuelle maskinen opprettes og er utelukkende plassert i den, noe som gjør dem utilgjengelige for både Google og andre virtuelle maskiner som kjører på samme node.
I tillegg til innebygd maskinvare-RAM-kryptering bygger vi konfidensielle VM-er på toppen av skjermede VM-er for å gi manipulasjonsmotstand til operativsystembildet, og bekrefter integriteten til fastvaren, kjernebinærfiler og drivere. Bilder som tilbys av Google inkluderer Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) og RHEL 8.2. Vi jobber med Centos, Debian og andre for å tilby andre operativsystembilder.
Vi jobber også tett med AMD Cloud Solutions ingeniørteam for å sikre at kryptering av virtuell maskinminne ikke påvirker ytelsen. Vi har lagt til støtte for nye OSS-drivere (nvme og gvnic) for å håndtere lagringsforespørsler og nettverkstrafikk med høyere gjennomstrømming enn eldre protokoller. Dette gjorde det mulig å verifisere at ytelsesindikatorene til konfidensielle VM-er er nær de vanlige virtuelle maskiner.
Secure Encrypted Virtualization, innebygd i andre generasjon AMD EPYC-prosessorer, gir en innovativ maskinvaresikkerhetsfunksjon som hjelper til med å beskytte data i et virtualisert miljø. For å støtte de nye GCE Confidential VMene N2D, samarbeidet vi med Google for å hjelpe kundene med å beskytte dataene sine og sikre ytelsen til arbeidsbelastningene deres. Vi er veldig glade for å se at konfidensielle VM-er leverer samme nivå av høy ytelse på tvers av arbeidsbelastninger som typiske N2D VM-er.
Raghu Nambiar, visepresident, datasenterøkosystem, AMD
Spillendringsteknologi
Konfidensiell databehandling kan bidra til å endre måten bedrifter behandler data på i skyen samtidig som personvern og sikkerhet opprettholdes. Også, blant andre fordeler, vil selskaper kunne jobbe sammen uten å kompromittere hemmeligholdet til datasettene. Slikt samarbeid kan på sin side føre til utvikling av enda mer transformative teknologier og ideer, for eksempel muligheten til raskt å lage vaksiner og behandle sykdommer som et resultat av et slikt sikkert samarbeid.
Vi gleder oss til å se mulighetene denne teknologien åpner for din bedrift. Se for å finne ut mer.
PS Ikke for første gang, og forhåpentligvis ikke siste, Google ruller ut en teknologi som forandrer verden. Som skjedde med Kubernetes ganske nylig. Vi støtter og distribuerer Goggle-teknologier etter beste evne og utdanner IT-spesialister i Russland. Vårt firma er ett av 3 Kubernetes sertifisert tjenesteleverandør og den eneste Kubernetes Training Partner i Russland. Det er derfor vi gjennomfører intensive Kubernetes-treningsøkter hver vår og høst. De neste intensivkursene holdes 28. – 30. september og 14.–16. oktober .
Kilde: www.habr.com