TL; DR: Możesz teraz uruchomić Kubernetes z Google'a.
Google dzisiaj (08.09.2020, około. tłumacz) na wydarzeniu ogłosiła rozszerzenie swojej linii produktów o wprowadzenie nowej usługi.
Poufne węzły GKE zwiększają prywatność zadań uruchamianych w Kubernetes. W lipcu na rynek wprowadzono pierwszy produkt o nazwie , a dziś te maszyny wirtualne są już publicznie dostępne dla każdego.
Confidential Computing to nowy produkt, który polega na przechowywaniu danych w formie zaszyfrowanej podczas ich przetwarzania. Jest to ostatnie ogniwo w łańcuchu szyfrowania danych, ponieważ dostawcy usług w chmurze już szyfrują dane przychodzące i wychodzące. Do niedawna konieczne było odszyfrowanie danych w trakcie ich przetwarzania, a wielu ekspertów postrzega to jako rażącą lukę w dziedzinie szyfrowania danych.
Inicjatywa Google na rzecz poufnego przetwarzania danych opiera się na współpracy z konsorcjum Confidential Computing Consortium, grupą branżową promującą koncepcję zaufanych środowisk wykonawczych (TEE). TEE to bezpieczna część procesora, w której ładowane dane i kod są szyfrowane, co oznacza, że do tych informacji nie mają dostępu inne części tego samego procesora.
Poufne maszyny wirtualne Google działają na maszynach wirtualnych N2D działających na procesorach AMD EPYC drugiej generacji, które korzystają z technologii Secure Encrypted Virtualization w celu izolowania maszyn wirtualnych od hypervisora, na którym działają. Istnieje gwarancja, że dane pozostaną zaszyfrowane bez względu na sposób ich wykorzystania: obciążenia, analizy, żądania dotyczące modeli szkoleniowych dla sztucznej inteligencji. Te maszyny wirtualne zostały zaprojektowane z myślą o potrzebach każdej firmy obsługującej wrażliwe dane w obszarach regulowanych, takich jak branża bankowa.
Być może bardziej nagląca jest zapowiedź nadchodzących testów beta poufnych węzłów GKE, które według Google zostaną wprowadzone w nadchodzącej wersji 1.18 (GKE). GKE to zarządzane, gotowe do produkcji środowisko do uruchamiania kontenerów, w których znajdują się części nowoczesnych aplikacji, które można uruchamiać w wielu środowiskach komputerowych. Kubernetes to narzędzie do orkiestracji typu open source służące do zarządzania tymi kontenerami.
Dodanie poufnych węzłów GKE zapewnia większą prywatność podczas uruchamiania klastrów GKE. Dodając nowy produkt do linii Confidential Computing, chcieliśmy zapewnić nowy poziom
prywatność i przenośność w przypadku konteneryzowanych obciążeń. Poufne węzły GKE firmy Google są zbudowane w oparciu o tę samą technologię, co poufne maszyny wirtualne, co umożliwia szyfrowanie danych w pamięci przy użyciu klucza szyfrowania specyficznego dla węzła, generowanego i zarządzanego przez procesor AMD EPYC. Węzły te będą korzystać ze sprzętowego szyfrowania pamięci RAM w oparciu o funkcję SEV firmy AMD, co oznacza, że obciążenia uruchamiane w tych węzłach będą szyfrowane podczas ich działania.
Sunil Potti i Eyal Manor, inżynierowie chmury, Google
W poufnych węzłach GKE klienci mogą skonfigurować klastry GKE tak, aby pule węzłów działały na poufnych maszynach wirtualnych. Mówiąc najprościej, wszelkie obciążenia działające na tych węzłach będą szyfrowane podczas przetwarzania danych.
Wiele przedsiębiorstw wymaga jeszcze większej prywatności podczas korzystania z usług chmury publicznej niż w przypadku obciążeń lokalnych uruchamianych lokalnie w celu ochrony przed atakującymi. Rozszerzenie przez Google Cloud linii Confidential Computing podnosi tę poprzeczkę, zapewniając użytkownikom możliwość zapewnienia poufności klastrom GKE. Biorąc pod uwagę jego popularność, Kubernetes stanowi kluczowy krok naprzód w branży, dając firmom więcej możliwości bezpiecznego hostowania aplikacji nowej generacji w chmurze publicznej.
Holger Mueller, analityk w Constellation Research.
NB Nasza firma rozpoczyna zaktualizowany kurs intensywny w dniach 28-30 września dla tych, którzy jeszcze nie znają Kubernetesa, ale chcą się z nim zapoznać i zacząć pracować. A po tym wydarzeniu w dniach 14–16 października uruchamiamy aktualizację dla doświadczonych użytkowników Kubernetesa, dla których ważna jest znajomość wszystkich najnowszych praktycznych rozwiązań w pracy z najnowszymi wersjami Kubernetesa i ewentualnym „rake”. NA Przeanalizujemy w teorii i praktyce zawiłości związane z instalacją i konfiguracją gotowego do produkcji klastra („niełatwy sposób”), mechanizmy zapewniające bezpieczeństwo i odporność aplikacji na awarie.
Google poinformował między innymi, że jego poufne maszyny wirtualne zyskają kilka nowych funkcji, gdy od dzisiaj staną się powszechnie dostępne. Na przykład pojawiły się raporty z audytu zawierające szczegółowe dzienniki kontroli integralności oprogramowania sprzętowego AMD Secure Processor używanego do generowania kluczy dla każdej instancji poufnych maszyn wirtualnych.
Istnieje również więcej kontroli nad ustawieniem określonych praw dostępu, a Google dodał także możliwość wyłączenia dowolnej niesklasyfikowanej maszyny wirtualnej w danym projekcie. Google łączy także poufne maszyny wirtualne z innymi mechanizmami prywatności, aby zapewnić bezpieczeństwo.
Możesz użyć kombinacji udostępnionych wirtualnych maszyn wirtualnych z regułami zapory sieciowej i ograniczeniami zasad organizacji, aby mieć pewność, że Poufne maszyny wirtualne będą mogły komunikować się z innymi Poufnymi maszynami wirtualnymi, nawet jeśli działają w różnych projektach. Dodatkowo możesz skorzystać z Kontroli usług VPC, aby ustawić zakres zasobów GCP dla poufnych maszyn wirtualnych.
Sunil Potti i dwór Eyal
Źródło: www.habr.com