TL, DR: agora você pode executar o Kubernetes em do Google.
Google hoje (08.09.2020/XNUMX/XNUMX, Aproximadamente. tradutor) No evento anunciou a ampliação de sua linha de produtos com o lançamento de um novo serviço.
Os nós confidenciais do GKE adicionam mais privacidade às cargas de trabalho em execução no Kubernetes. Em julho foi lançado o primeiro produto chamado , e hoje essas máquinas virtuais já estão disponíveis publicamente para todos.
A Computação Confidencial é um novo produto que envolve o armazenamento de dados em formato criptografado enquanto estão sendo processados. Este é o último elo na cadeia de criptografia de dados, uma vez que os provedores de serviços em nuvem já criptografam dados de entrada e saída. Até recentemente, era necessário descriptografar os dados à medida que eram processados, e muitos especialistas veem isso como uma lacuna evidente no campo da criptografia de dados.
A Iniciativa de Computação Confidencial do Google é baseada em uma colaboração com o Confidential Computing Consortium, um grupo da indústria para promover o conceito de Ambientes de Execução Confiáveis (TEEs). TEE é uma parte segura do processador na qual os dados e códigos carregados são criptografados, o que significa que essas informações não podem ser acessadas por outras partes do mesmo processador.
As VMs confidenciais do Google são executadas em máquinas virtuais N2D executadas em processadores EPYC de segunda geração da AMD, que usam a tecnologia Secure Encrypted Virtualization para isolar as máquinas virtuais do hipervisor em que são executadas. Há a garantia de que os dados permanecem criptografados independente de sua utilização: cargas de trabalho, análises, solicitações de modelos de treinamento para inteligência artificial. Estas máquinas virtuais são projetadas para atender às necessidades de qualquer empresa que lida com dados confidenciais em áreas regulamentadas, como o setor bancário.
Talvez mais urgente seja o anúncio dos próximos testes beta dos nós confidenciais do GKE, que o Google afirma que serão introduzidos na próxima versão 1.18 (GKE). O GKE é um ambiente gerenciado e pronto para produção para execução de contêineres que hospedam partes de aplicativos modernos que podem ser executados em vários ambientes de computação. Kubernetes é uma ferramenta de orquestração de código aberto usada para gerenciar esses contêineres.
Adicionar nós confidenciais do GKE proporciona maior privacidade ao executar clusters do GKE. Ao adicionar um novo produto à linha Confidential Computing, queríamos fornecer um novo nível de
privacidade e portabilidade para cargas de trabalho em contêineres. Os nós confidenciais do GKE do Google são criados com a mesma tecnologia das VMs confidenciais, permitindo criptografar dados na memória usando uma chave de criptografia específica do nó gerada e gerenciada pelo processador AMD EPYC. Esses nós usarão criptografia de RAM baseada em hardware com base no recurso SEV da AMD, o que significa que suas cargas de trabalho em execução nesses nós serão criptografadas enquanto estiverem em execução.
Sunil Potti e Eyal Manor, engenheiros de nuvem, Google
Nos nós confidenciais do GKE, os clientes podem configurar clusters do GKE para que os pools de nós sejam executados em VMs confidenciais. Simplificando, quaisquer cargas de trabalho em execução nesses nós serão criptografadas enquanto os dados são processados.
Muitas empresas exigem ainda mais privacidade ao usar serviços de nuvem pública do que para cargas de trabalho locais executadas no local para proteção contra invasores. A expansão da linha Confidential Computing do Google Cloud eleva esse padrão, fornecendo aos usuários a capacidade de fornecer sigilo para clusters do GKE. E dada a sua popularidade, o Kubernetes é um passo importante para a indústria, dando às empresas mais opções para hospedar com segurança aplicações de próxima geração na nuvem pública.
Holger Mueller, analista da Constellation Research.
NB Nossa empresa está lançando um curso intensivo atualizado de 28 a 30 de setembro para quem ainda não conhece o Kubernetes, mas quer conhecê-lo e começar a trabalhar. E depois deste evento de 14 a 16 de outubro, lançaremos uma versão atualizada para usuários experientes do Kubernetes para os quais é importante conhecer todas as soluções práticas mais recentes para trabalhar com as versões mais recentes do Kubernetes e possível “rake”. Sobre Analisaremos na teoria e na prática os meandros da instalação e configuração de um cluster pronto para produção (“o caminho não tão fácil”), mecanismos para garantir a segurança e tolerância a falhas dos aplicativos.
Entre outras coisas, o Google disse que suas VMs confidenciais ganharão alguns novos recursos à medida que se tornarem disponíveis a partir de hoje. Por exemplo, surgiram relatórios de auditoria contendo registros detalhados da verificação de integridade do firmware do AMD Secure Processor usado para gerar chaves para cada instância de VMs confidenciais.
Existem também mais controles para definir direitos de acesso específicos, e o Google também adicionou a capacidade de desativar qualquer máquina virtual não classificada em um determinado projeto. O Google também conecta VMs confidenciais a outros mecanismos de privacidade para fornecer segurança.
Você pode usar uma combinação de VPCs compartilhadas com regras de firewall e restrições de política da organização para garantir que as VMs confidenciais possam se comunicar com outras VMs confidenciais, mesmo que estejam em execução em projetos diferentes. Além disso, você pode usar o VPC Service Controls para definir o escopo de recursos do GCP para suas VMs confidenciais.
Sunil Potti e Mansão Eyal
Fonte: habr.com