W Google wierzymy, że przyszłość przetwarzania w chmurze będzie w coraz większym stopniu zmierzać w stronę prywatnych, szyfrowanych usług, które dają użytkownikom całkowitą pewność co do prywatności ich danych.
Google Cloud szyfruje już dane klientów podczas przesyłania i przechowywania, ale przed przetworzeniem należy je jeszcze odszyfrować. Poufne przetwarzanie to rewolucyjna technologia służąca do szyfrowania danych podczas przetwarzania. Poufne środowiska komputerowe umożliwiają przechowywanie zaszyfrowanych danych w pamięci RAM i innych miejscach poza procesorem (CPU).
Confidential VMs są obecnie w fazie testów beta i są pierwszym produktem z linii Google Cloud Confidential Computing. W naszej infrastrukturze chmurowej stosujemy już różne techniki izolacji i sandboxingu, aby zapewnić bezpieczeństwo architektury wielodostępnej. Poufne maszyny wirtualne przenoszą bezpieczeństwo na wyższy poziom, oferując szyfrowanie w pamięci w celu dalszej izolacji obciążeń w chmurze, pomagając naszym klientom chronić wrażliwe dane. Uważamy, że będzie to szczególnie interesujące dla tych, którzy pracują w branżach regulowanych (być może w związku z RODO i innymi powiązanymi kwestiami, około. tłumacz).
Otwarcie nowych możliwości
Już w przypadku Asylo, platformy open source do przetwarzania poufnego, skupiliśmy się na tworzeniu poufnych środowisk obliczeniowych łatwych do wdrożenia i użytkowania, oferując wysoką wydajność i aplikację dla dowolnego obciążenia, które zdecydujesz się uruchomić w chmurze. Wierzymy, że nie musisz rezygnować z użyteczności, elastyczności, wydajności i bezpieczeństwa.
Wraz z wejściem poufnych maszyn wirtualnych w wersję beta jesteśmy pierwszym dużym dostawcą usług w chmurze oferującym taki poziom bezpieczeństwa i izolacji — a także zapewniamy klientom prostą, łatwą w obsłudze opcję zarówno dla nowych aplikacji, jak i „przeniesionych” (prawdopodobnie dotyczy to aplikacji, które można uruchomić w chmurze bez większych zmian, około. tłumacz). Zapewniamy:
-
Niezrównana prywatność: klienci mogą chronić prywatność swoich wrażliwych danych w chmurze, nawet podczas ich przetwarzania. Poufne maszyny wirtualne wykorzystują funkcję Secure Encrypted Virtualization (SEV) procesorów AMD EPYC drugiej generacji. Twoje dane pozostają zaszyfrowane podczas użytkowania, indeksowania, wysyłania zapytań i szkolenia. Klucze szyfrujące tworzone są w sprzęcie oddzielnie dla każdej maszyny wirtualnej i nigdy nie opuszczają sprzętu.
-
Ulepszona innowacja: przetwarzanie poufne może otworzyć scenariusze przetwarzania, które wcześniej nie były możliwe. Firmy mogą teraz udostępniać tajne zbiory danych i współpracować przy badaniach w chmurze, zachowując przy tym tajemnicę.
-
Prywatność w przypadku przeniesionych obciążeń: naszym celem jest uproszczenie poufnego przetwarzania danych. Przejście na poufne maszyny wirtualne przebiega bezproblemowo — wszystkie obciążenia w GCP działające na maszynach wirtualnych można migrować na poufne maszyny wirtualne. To proste – wystarczy zaznaczyć jedno pole.
-
Zaawansowana ochrona przed zagrożeniami: Przetwarzanie poufne opiera się na ochronie chronionych maszyn wirtualnych przed rootkitami i bootkitami, pomagając zapewnić integralność systemu operacyjnego wybranego do działania na poufnej maszynie wirtualnej.
Podstawy poufnych maszyn wirtualnych
Poufne maszyny wirtualne działają na maszynach wirtualnych N2D działających na procesorach AMD EPYC drugiej generacji. Funkcja SEV firmy AMD zapewnia wysoką wydajność w przypadku najbardziej wymagających obciążeń obliczeniowych, przy jednoczesnym szyfrowaniu pamięci RAM maszyny wirtualnej za pomocą klucza dla każdej maszyny wirtualnej generowanego i zarządzanego przez procesor EPYC. Klucze są tworzone przez koprocesor AMD Secure Processor podczas tworzenia maszyny wirtualnej i znajdują się wyłącznie w niej, co sprawia, że są niedostępne zarówno dla Google, jak i innych maszyn wirtualnych działających na tym samym węźle.
Oprócz wbudowanego sprzętowego szyfrowania pamięci RAM, budujemy poufne maszyny wirtualne na chronionych maszynach wirtualnych, aby zapewnić odporność na manipulacje obrazu systemu operacyjnego, weryfikując integralność oprogramowania sprzętowego, plików binarnych jądra i sterowników. Obrazy oferowane przez Google obejmują Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) i RHEL 8.2. Pracujemy nad Centosem, Debianem i innymi, aby zaoferować inne obrazy systemów operacyjnych.
Ściśle współpracujemy również z zespołem inżynierów AMD Cloud Solution, aby mieć pewność, że szyfrowanie pamięci maszyny wirtualnej nie będzie miało wpływu na wydajność. Dodaliśmy obsługę nowych sterowników OSS (nvme i gvnic), aby obsługiwać żądania przechowywania i ruch sieciowy z większą przepustowością niż starsze protokoły. Umożliwiło to sprawdzenie, czy wskaźniki wydajności Poufnych maszyn wirtualnych są zbliżone do wskaźników zwykłych maszyn wirtualnych.
Bezpieczna szyfrowana wirtualizacja, wbudowana w procesory AMD EPYC drugiej generacji, zapewnia innowacyjną funkcję zabezpieczeń sprzętowych, która pomaga chronić dane w środowisku zwirtualizowanym. Aby zapewnić obsługę nowych poufnych maszyn wirtualnych GCE N2D, współpracowaliśmy z Google, aby pomóc klientom chronić ich dane i zapewnić wydajność ich obciążeń. Jesteśmy bardzo zadowoleni, że poufne maszyny wirtualne zapewniają ten sam poziom wysokiej wydajności przy różnych obciążeniach, co typowe maszyny wirtualne N2D.
Raghu Nambiar, wiceprezes ds. ekosystemu centrów danych, AMD
Technologia zmieniająca zasady gry
Przetwarzanie poufne może pomóc zmienić sposób, w jaki przedsiębiorstwa przetwarzają dane w chmurze, zachowując jednocześnie prywatność i bezpieczeństwo. Poza innymi korzyściami firmy będą mogły współpracować bez naruszania tajemnicy zbiorów danych. Taka współpraca może z kolei prowadzić do opracowania jeszcze bardziej rewolucyjnych technologii i pomysłów, takich jak możliwość szybkiego tworzenia szczepionek i leczenia chorób w wyniku takiej bezpiecznej współpracy.
Nie możemy się doczekać, aby zobaczyć możliwości, jakie ta technologia otwiera dla Twojej firmy. Patrzeć by dowiedzieć się więcej.
PS Nie po raz pierwszy i miejmy nadzieję, że nie ostatni Google wprowadza technologię, która zmienia świat. Tak jak to miało miejsce całkiem niedawno w przypadku Kubernetesa. Wspieramy i dystrybuujemy technologie Goggle najlepiej jak potrafimy oraz szkolimy specjalistów IT w Rosji. Nasza firma jest jedną z 3 Certyfikowany dostawca usług Kubernetes i jedyny Partner szkoleniowy Kubernetes w Rosji. Dlatego każdej wiosny i jesieni prowadzimy intensywne szkolenia Kubernetes. Kolejne intensywne kursy odbędą się w dniach 28-30 września i 14–16 października .
Źródło: www.habr.com