No Google, acreditamos que o futuro da computação em nuvem mudará cada vez mais para serviços privados e criptografados que proporcionem aos usuários total confiança na privacidade de seus dados.
O Google Cloud já criptografa os dados dos clientes em trânsito e em repouso, mas eles ainda precisam ser descriptografados para serem processados. Computação confidencial é uma tecnologia revolucionária usada para criptografar dados durante o processamento. Ambientes de computação confidenciais permitem armazenar dados criptografados na RAM e em outros locais fora do processador (CPU).
As VMs confidenciais estão atualmente em testes beta e são o primeiro produto da linha Google Cloud Confidential Computing. Já utilizamos diversas técnicas de isolamento e sandbox em nossa infraestrutura de nuvem para garantir a segurança de uma arquitetura multilocatário. As VMs confidenciais levam a segurança para o próximo nível, oferecendo criptografia na memória para isolar ainda mais suas cargas de trabalho na nuvem, ajudando nossos clientes a proteger dados confidenciais. Achamos que isto será de particular interesse para aqueles que trabalham em indústrias regulamentadas (talvez sobre o GDPR e outras coisas relacionadas, Aproximadamente. tradutor).
Abrindo novas possibilidades
Já com o Asylo, a plataforma de código aberto para computação confidencial, nos concentramos em tornar os ambientes de computação confidenciais fáceis de implantar e usar, oferecendo alto desempenho e aplicação para qualquer carga de trabalho que você escolher para executar na nuvem. Acreditamos que você não precisa comprometer a usabilidade, flexibilidade, desempenho e segurança.
Com as VMs confidenciais entrando na versão beta, somos o primeiro grande provedor de nuvem a oferecer esse nível de segurança e isolamento — e fornecemos aos clientes uma opção simples e fácil de usar para aplicativos novos e "portados" (provavelmente sobre aplicativos que pode ser executado na nuvem sem alterações significativas, Aproximadamente. tradutor). Nós provemos:
Privacidade incomparável: os clientes podem proteger a privacidade de seus dados confidenciais na nuvem, mesmo enquanto eles estão sendo processados. As VMs confidenciais aproveitam o recurso Secure Encrypted Virtualization (SEV) dos processadores AMD EPYC de segunda geração. Seus dados permanecem criptografados durante o uso, indexação, consulta e treinamento. As chaves de criptografia são criadas no hardware separadamente para cada máquina virtual e nunca saem do hardware.
Inovação aprimorada: A computação confidencial pode abrir cenários de processamento que antes não eram possíveis. As empresas agora podem compartilhar conjuntos de dados classificados e colaborar em pesquisas na nuvem, mantendo o sigilo.
Privacidade para cargas de trabalho portadas: Nosso objetivo é simplificar a computação confidencial. A transição para VMs confidenciais é perfeita: todas as cargas de trabalho no GCP executadas em máquinas virtuais podem migrar para VMs confidenciais. É simples: basta marcar uma caixa.
Proteção avançada contra ameaças: a computação confidencial baseia-se na proteção de VMs protegidas contra rootkits e bootkits, ajudando a garantir a integridade do sistema operacional selecionado para execução na VM confidencial.
Noções básicas de VMs confidenciais
VMs confidenciais são executadas em máquinas virtuais N2D executadas em processadores AMD EPYC de segunda geração. O recurso SEV da AMD oferece alto desempenho nas cargas de trabalho de computação mais exigentes, ao mesmo tempo que mantém a RAM da máquina virtual criptografada com uma chave por VM gerada e gerenciada pelo processador EPYC. As chaves são criadas pelo coprocessador AMD Secure Processor quando a máquina virtual é criada e estão localizadas exclusivamente nela, o que as torna inacessíveis tanto para o Google quanto para outras máquinas virtuais em execução no mesmo nó.
Além da criptografia de hardware integrada à RAM, criamos VMs Confidenciais sobre VMs Protegidas para garantir que a imagem do sistema operacional seja resistente a adulterações e para verificar a integridade do firmware, dos binários do kernel e dos drivers. As imagens oferecidas pelo Google incluem: Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) e RHEL 8.2. Estamos trabalhando em Centos, Debian e outros para oferecer outras imagens de sistemas operacionais.
Também trabalhamos em estreita colaboração com a equipe de engenharia da AMD Cloud Solution para garantir que a criptografia da memória da máquina virtual não afete o desempenho. Adicionamos suporte para novos drivers OSS (nvme e gvnic) para lidar com solicitações de armazenamento e tráfego de rede com maior rendimento do que os protocolos mais antigos. Isto permitiu verificar que os indicadores de desempenho das VMs Confidenciais estão próximos dos das máquinas virtuais normais.
A Virtualização Criptografada Segura, integrada à segunda geração de processadores AMD EPYC, fornece um recurso inovador de segurança de hardware que ajuda a proteger os dados em um ambiente virtualizado. Para oferecer suporte às novas VMs confidenciais do GCE N2D, trabalhamos com o Google para ajudar os clientes a proteger seus dados e garantir o desempenho de suas cargas de trabalho. Estamos muito satisfeitos em ver que as VMs confidenciais oferecem o mesmo nível de alto desempenho em cargas de trabalho que as VMs N2D típicas.
Raghu Nambiar, vice-presidente, ecossistema de data center, AMD
Tecnologia para mudar o jogo
A computação confidencial pode ajudar a mudar a forma como as empresas processam dados na nuvem, mantendo a privacidade e a segurança. Além disso, entre outros benefícios, as empresas poderão trabalhar em conjunto sem comprometer o sigilo dos conjuntos de dados. Essa colaboração, por sua vez, pode levar ao desenvolvimento de tecnologias e ideias ainda mais transformadoras, tais como a capacidade de criar rapidamente vacinas e tratar doenças como resultado dessa colaboração segura.
Mal podemos esperar para ver as oportunidades que esta tecnologia abre para sua empresa. Olhar descobrir mais.
PS Não é a primeira vez, e esperamos que não seja a última, que o Google lança uma tecnologia que muda o mundo. Como aconteceu com o Kubernetes recentemente. Apoiamos e distribuímos tecnologias Goggle da melhor maneira possível e treinamos especialistas em TI na Rússia. Nossa empresa é uma das 3 Provedor de serviços certificado pelo Kubernetes e o único Parceiro de treinamento Kubernetes na Rússia. É por isso que realizamos sessões intensivas de treinamento em Kubernetes toda primavera e outono. Os próximos cursos intensivos serão realizados de 28 a 30 de setembro e 14 a 16 de outubro .
Fonte: habr.com
