TL; DR: Zdaj lahko zaženete Kubernetes od Googla.
Google danes (08.09.2020, pribl. prevajalec) na dogodku napovedal razširitev svoje linije izdelkov z uvedbo nove storitve.
Zaupna vozlišča GKE dodajo več zasebnosti delovnim obremenitvam, ki se izvajajo v Kubernetesu. Julija je bil lansiran prvi produkt imenovan , danes pa so ti virtualni stroji že javno dostopni vsem.
Confidential Computing je nov izdelek, ki vključuje shranjevanje podatkov v šifrirani obliki med obdelavo. To je zadnji člen v verigi šifriranja podatkov, saj ponudniki storitev v oblaku že šifrirajo podatke. Do nedavnega je bilo treba podatke dešifrirati med obdelavo, kar mnogi poznavalci vidijo kot perečo luknjo na področju šifriranja podatkov.
Googlova pobuda za zaupno računalništvo temelji na sodelovanju s Confidential Computing Consortium, industrijsko skupino za promocijo koncepta zaupanja vrednih izvajalskih okolij (TEE). TEE je varen del procesorja, v katerem so naloženi podatki in koda šifrirani, kar pomeni, da do teh informacij drugi deli istega procesorja ne morejo dostopati.
Googlovi zaupni virtualni stroji delujejo na virtualnih strojih N2D, ki se izvajajo na AMD-jevih procesorjih EPYC druge generacije, ki uporabljajo tehnologijo varne šifrirane virtualizacije za izolacijo virtualnih strojev od hipervizorja, na katerem se izvajajo. Obstaja jamstvo, da podatki ostanejo šifrirani ne glede na njihovo uporabo: delovne obremenitve, analitika, zahteve za modele usposabljanja za umetno inteligenco. Ti virtualni stroji so zasnovani tako, da izpolnjujejo potrebe katerega koli podjetja, ki obdeluje občutljive podatke na reguliranih področjih, kot je bančništvo.
Morda bolj pereča je napoved prihajajočega beta testiranja vozlišč Confidential GKE, za katero Google pravi, da bo predstavljena v prihajajoči izdaji 1.18 (GKE). GKE je upravljano, produkcijsko pripravljeno okolje za izvajanje vsebnikov, ki gostijo dele sodobnih aplikacij, ki jih je mogoče izvajati v več računalniških okoljih. Kubernetes je odprtokodno orkestracijsko orodje, ki se uporablja za upravljanje teh vsebnikov.
Dodajanje zaupnih vozlišč GKE zagotavlja večjo zasebnost pri izvajanju gruč GKE. Ko smo liniji Confidential Computing dodali nov izdelek, smo želeli zagotoviti novo raven
zasebnost in prenosljivost za kontejnerske delovne obremenitve. Googlova vozlišča Confidential GKE so zgrajena na isti tehnologiji kot Confidential VM, kar vam omogoča šifriranje podatkov v pomnilniku z uporabo šifrirnega ključa, specifičnega za vozlišče, ki ga ustvari in upravlja procesor AMD EPYC. Ta vozlišča bodo uporabljala šifriranje RAM-a na podlagi strojne opreme, ki temelji na AMD-jevi funkciji SEV, kar pomeni, da bodo vaše delovne obremenitve, ki se izvajajo na teh vozliščih, šifrirane, medtem ko se izvajajo.
Sunil Potti in Eyal Manor, inženirja oblakov, Google
Na zaupnih vozliščih GKE lahko stranke konfigurirajo gruče GKE tako, da se področja vozlišč izvajajo na zaupnih navideznih strojih. Preprosto povedano, vse delovne obremenitve, ki se izvajajo na teh vozliščih, bodo med obdelavo podatkov šifrirane.
Številna podjetja potrebujejo še več zasebnosti pri uporabi javnih storitev v oblaku kot pri lokalnih delovnih obremenitvah, ki se izvajajo na mestu uporabe, za zaščito pred napadalci. Google Cloud je razširil svojo linijo zaupnega računalništva to letvico dvignil, saj je uporabnikom omogočil zagotavljanje tajnosti za gruče GKE. Glede na svojo priljubljenost je Kubernetes ključni korak naprej za industrijo, saj podjetjem daje več možnosti za varno gostovanje aplikacij naslednje generacije v javnem oblaku.
Holger Mueller, analitik pri Constellation Research.
Opomba: Naše podjetje od 28. do 30. septembra uvaja posodobljen intenzivni tečaj za tiste, ki Kubernetesa še ne poznate, a se želite z njim seznaniti in začeti delati. In po tem dogodku 14.–16. oktobra lansiramo posodobljeno za izkušene uporabnike Kubernetesa, za katere je pomembno, da poznajo vse najnovejše praktične rešitve pri delu z najnovejšimi različicami Kubernetesa in morebitne “rake”. Vklopljeno V teoriji in praksi bomo analizirali zapletenost namestitve in konfiguracije grozda, pripravljenega za proizvodnjo (»the-not-so-easy-way«), mehanizme za zagotavljanje varnosti in odpornosti aplikacij na napake.
Google je med drugim dejal, da bodo njegovi zaupni navidezni stroji pridobili nekaj novih funkcij, ko bodo danes splošno dostopni. Pojavila so se na primer revizijska poročila, ki so vsebovala podrobne dnevnike preverjanja integritete vdelane programske opreme AMD Secure Processor, ki se uporablja za ustvarjanje ključev za vsak primerek zaupnih navideznih strojev.
Obstaja tudi več kontrolnikov za nastavitev posebnih pravic dostopa, Google pa je dodal tudi možnost onemogočanja katerega koli nerazvrščenega virtualnega stroja v danem projektu. Google prav tako povezuje zaupne VM z drugimi mehanizmi zasebnosti, da zagotovi varnost.
Uporabite lahko kombinacijo VPC-jev v skupni rabi s pravili požarnega zidu in omejitvami politik organizacije, da zagotovite, da lahko zaupni VM komunicirajo z drugimi zaupnimi VM-ji, tudi če se izvajajo v različnih projektih. Poleg tega lahko uporabite kontrolnike storitev VPC, da nastavite obseg vira GCP za vaše zaupne VM.
Sunil Potti in dvorec Eyal
Vir: www.habr.com