V spoločnosti Google veríme, že budúcnosť cloud computingu sa bude čoraz viac posúvať smerom k súkromným, šifrovaným službám, ktoré používateľom poskytujú úplnú dôveru v súkromie ich údajov.
Google Cloud už šifruje údaje zákazníkov pri prenose a v pokoji, no na spracovanie ich ešte treba dešifrovať. Dôverná výpočtová technika je revolučná technológia používaná na šifrovanie údajov počas spracovania. Dôverné počítačové prostredia umožňujú ukladať šifrované dáta do pamäte RAM a na iné miesta mimo procesora (CPU).
Dôverné virtuálne počítače sú momentálne v beta testovaní a sú prvým produktom z radu Google Cloud Confidential Computing. V našej cloudovej infraštruktúre už používame rôzne techniky izolácie a sandboxingu, aby sme zaistili bezpečnosť architektúry s viacerými nájomcami. Dôverné virtuálne počítače posúvajú zabezpečenie na ďalšiu úroveň tým, že ponúkajú šifrovanie v pamäti na ďalšiu izoláciu ich pracovného zaťaženia v cloude, čo našim zákazníkom pomáha chrániť citlivé údaje. Myslíme si, že to bude zaujímať najmä tých, ktorí pracujú v regulovaných odvetviach (možno o GDPR a iných súvisiacich veciach, približne. prekladateľ).
Otváranie nových možností
Už s Asylo, open source platformou pre dôverné výpočty, sme sa zamerali na jednoduché nasadenie a používanie dôverných počítačových prostredí, ktoré ponúkajú vysoký výkon a aplikácie pre akúkoľvek pracovnú záťaž, ktorú sa rozhodnete spustiť v cloude. Veríme, že nemusíte robiť kompromisy v oblasti použiteľnosti, flexibility, výkonu a bezpečnosti.
S dôvernými virtuálnymi počítačmi, ktoré vstupujú do beta verzie, sme prvým veľkým poskytovateľom cloudu, ktorý ponúka túto úroveň zabezpečenia a izolácie – a poskytuje zákazníkom jednoduchú a ľahko použiteľnú možnosť pre nové aj „portované“ aplikácie (pravdepodobne o aplikáciách, ktoré možno spustiť v cloude bez výrazných zmien, približne. prekladateľ). Poskytujeme:
-
Bezkonkurenčné súkromie: Zákazníci môžu chrániť súkromie svojich citlivých údajov v cloude, aj keď sa spracúvajú. Dôverné virtuálne počítače využívajú funkciu Secure Encrypted Virtualization (SEV) druhej generácie procesorov AMD EPYC. Vaše údaje zostávajú počas používania, indexovania, dotazovania a školenia šifrované. Šifrovacie kľúče sa vytvárajú v hardvéri samostatne pre každý virtuálny stroj a nikdy neopúšťajú hardvér.
-
Vylepšená inovácia: Dôverné výpočty môžu otvoriť scenáre spracovania, ktoré predtým neboli možné. Spoločnosti teraz môžu zdieľať utajované súbory údajov a spolupracovať na výskume v cloude pri zachovaní tajomstva.
-
Ochrana osobných údajov pre prenesené pracovné zaťaženia: Naším cieľom je zjednodušiť dôverné výpočty. Prechod na dôverné virtuálne počítače je bezproblémový – všetky pracovné záťaže v GCP spustené vo virtuálnych počítačoch možno migrovať na dôverné virtuálne počítače. Je to jednoduché – stačí zaškrtnúť jedno políčko.
-
Pokročilá ochrana pred hrozbami: Dôverná výpočtová technika je založená na ochrane chránených virtuálnych počítačov pred rootkitmi a bootkitmi, čím pomáha zaistiť integritu operačného systému vybraného na spustenie v dôvernom virtuálnom počítači.
Základy dôverných virtuálnych počítačov
Dôverné virtuálne počítače bežia na virtuálnych počítačoch N2D, ktoré bežia na procesoroch AMD EPYC druhej generácie. Funkcia SEV od AMD poskytuje vysoký výkon pri najnáročnejších výpočtových úlohách a zároveň udržiava pamäť RAM virtuálneho stroja šifrovanú pomocou kľúča pre VM generovaného a spravovaného procesorom EPYC. Kľúče vytvára koprocesor AMD Secure Processor pri vytváraní virtuálneho stroja a nachádzajú sa výlučne v ňom, čím sú nedostupné pre Google a iné virtuálne stroje bežiace na rovnakom uzle.
Okrem vstavaného šifrovania hardvérovej pamäte RAM staviame dôverné virtuálne počítače na tienené virtuálne počítače, aby sme poskytovali obrazy operačného systému odolné voči neoprávnenej manipulácii, kontroly integrity firmvéru, binárne súbory jadra a ovládače. Obrázky ponúkané spoločnosťou Google zahŕňajú Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) a RHEL 8.2. Pracujeme na Centos, Debiane a ďalších, aby sme ponúkli ďalšie obrazy operačného systému.
Úzko spolupracujeme aj s inžinierskym tímom cloudových riešení AMD, aby sme zaistili, že šifrovanie pamäte virtuálneho počítača neovplyvní výkon. Pridali sme podporu pre nové ovládače OSS (nvme a gvnic), aby sme zvládli požiadavky na úložisko a sieťovú prevádzku pri vyššej priepustnosti ako staršie protokoly. To umožnilo overiť, že ukazovatele výkonu dôverných virtuálnych počítačov sú blízke ukazovateľom bežných virtuálnych počítačov.
Secure Encrypted Virtualization, zabudovaná do druhej generácie procesorov AMD EPYC, poskytuje inovatívnu funkciu hardvérového zabezpečenia, ktorá pomáha chrániť dáta vo virtualizovanom prostredí. Na podporu nových virtuálnych počítačov GCE Confidential N2D sme spolupracovali so spoločnosťou Google, aby sme zákazníkom pomohli chrániť ich údaje a zabezpečiť výkon ich pracovných úloh. Veľmi nás teší, že dôverné virtuálne počítače poskytujú rovnakú úroveň vysokého výkonu pri rôznych pracovných zaťaženiach ako typické virtuálne počítače N2D.
Raghu Nambiar, viceprezident, Data Center Ecosystem, AMD
Technológia zmeny hry
Dôverná výpočtová technika môže pomôcť zmeniť spôsob, akým podniky spracúvajú údaje v cloude pri zachovaní súkromia a bezpečnosti. Okrem iných výhod budú spoločnosti môcť spolupracovať bez ohrozenia tajomstva súborov údajov. Takáto spolupráca môže následne viesť k vývoju ešte transformatívnejších technológií a nápadov, ako je schopnosť rýchlo vytvárať vakcíny a liečiť choroby ako výsledok takejto bezpečnej spolupráce.
Nemôžeme sa dočkať, kedy uvidíme príležitosti, ktoré táto technológia otvára vašej spoločnosti. Pozri zistiť viac.
PS Nie je to prvýkrát a dúfame, že ani poslednýkrát, Google uvádza na trh technológiu, ktorá mení svet. Ako sa to stalo nedávno s Kubernetesom. Podporujeme a distribuujeme technológie Goggle podľa našich najlepších schopností a školíme IT špecialistov v Rusku. Naša spoločnosť je jednou z 3 Certifikovaný poskytovateľ služieb Kubernetes a jediný Školiaci partner Kubernetes v Rusku. Preto každú jar a jeseň vedieme intenzívne školenia Kubernetes. Najbližšie intenzívne kurzy sa budú konať 28. – 30. septembra a 14. – 16. októbra .
Zdroj: hab.com