Pri Googlu verjamemo, da se bo prihodnost računalništva v oblaku vse bolj usmerjala k zasebnim, šifriranim storitvam, ki uporabnikom dajejo popolno zaupanje v zasebnost njihovih podatkov.
Google Cloud že šifrira podatke strank med prenosom in mirovanjem, vendar jih je za obdelavo še vedno treba dešifrirati. Zaupno računalništvo je revolucionarna tehnologija, ki se uporablja za šifriranje podatkov med obdelavo. Zaupna računalniška okolja vam omogočajo shranjevanje šifriranih podatkov v RAM in na drugih mestih zunaj procesorja (CPE).
Confidential VMs je trenutno v beta testiranju in je prvi izdelek v liniji Google Cloud Confidential Computing. V naši infrastrukturi v oblaku že uporabljamo različne tehnike izolacije in peskovnika, da zagotovimo varnost arhitekture z več najemniki. Zaupni navidezni računalniki postavljajo varnost na višjo raven, saj ponujajo šifriranje v pomnilniku za dodatno izolacijo njihovih delovnih obremenitev v oblaku, kar našim strankam pomaga zaščititi občutljive podatke. Menimo, da bo to še posebej zanimivo za tiste, ki delajo v reguliranih panogah (morda glede GDPR in drugih povezanih stvari, pribl. prevajalec).
Odpiranje novih možnosti
Že z Asylo, odprtokodno platformo za zaupno računalništvo, smo se osredotočili na to, da naredimo zaupna računalniška okolja enostavna za uvajanje in uporabo ter ponujamo visoko zmogljivost in aplikacijo za vsako delovno obremenitev, ki jo izberete za izvajanje v oblaku. Verjamemo, da vam ni treba sklepati kompromisov glede uporabnosti, prilagodljivosti, zmogljivosti in varnosti.
Z zaupnimi virtualnimi stroji, ki vstopajo v različico beta, smo prvi večji ponudnik oblaka, ki ponuja to raven varnosti in izolacije – ter strankam nudi preprosto možnost, ki je enostavna za uporabo, tako za nove aplikacije kot za »prenesene« (verjetno o aplikacijah, ki lahko deluje v oblaku brez bistvenih sprememb, pribl. prevajalec). Ponujamo:
-
Zasebnost brez primere: Stranke lahko zaščitijo zasebnost svojih občutljivih podatkov v oblaku, tudi ko so v obdelavi. Zaupni VM-ji izkoriščajo funkcijo varne šifrirane virtualizacije (SEV) druge generacije procesorjev AMD EPYC. Vaši podatki med uporabo, indeksiranjem, poizvedovanjem in usposabljanjem ostanejo šifrirani. Šifrirni ključi so ustvarjeni v strojni opremi posebej za vsak virtualni stroj in nikoli ne zapustijo strojne opreme.
-
Izboljšane inovacije: Zaupno računalništvo lahko odpre scenarije obdelave, ki prej niso bili mogoči. Podjetja lahko zdaj delijo nize zaupnih podatkov in sodelujejo pri raziskavah v oblaku, hkrati pa ohranjajo tajnost.
-
Zasebnost za prenesene delovne obremenitve: Naš cilj je poenostaviti zaupno računalništvo. Prehod na zaupne navidezne stroje je brezhiben – vse delovne obremenitve v GCP, ki se izvajajo v virtualnih strojih, se lahko preselijo na zaupne navidezne stroje. Preprosto je – označite eno polje.
-
Napredna zaščita pred grožnjami: Zaupno računalništvo temelji na zaščiti zaščitenih navideznih računalnikov pred rootkiti in bootkiti ter pomaga zagotoviti celovitost operacijskega sistema, izbranega za izvajanje v zaupnem navideznem računalniku.
Osnove zaupnih VM
Zaupni VM delujejo na virtualnih strojih N2D, ki delujejo na procesorjih AMD EPYC druge generacije. AMD-jeva funkcija SEV zagotavlja visoko zmogljivost pri najzahtevnejših računalniških delovnih obremenitvah, hkrati pa ohranja RAM virtualnega stroja šifriran s ključem za VM, ki ga ustvari in upravlja procesor EPYC. Ključe ustvari koprocesor AMD Secure Processor, ko je virtualni stroj ustvarjen in se nahajajo izključno v njem, zaradi česar so nedostopni tako Googlu kot drugim virtualnim strojem, ki delujejo na istem vozlišču.
Poleg vgrajenega strojnega šifriranja RAM-a gradimo zaupne navidezne stroje na vrhu zaščitenih navideznih strojev, da zagotovimo odpornost proti posegom v sliko operacijskega sistema, preverjamo celovitost vdelane programske opreme, binarnih datotek jedra in gonilnikov. Slike, ki jih ponuja Google, vključujejo Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) in RHEL 8.2. Delamo na Centos, Debian in drugih, da bi ponudili druge slike operacijskega sistema.
Prav tako tesno sodelujemo z inženirsko ekipo AMD Cloud Solution, da zagotovimo, da šifriranje pomnilnika navideznega stroja ne vpliva na zmogljivost. Dodali smo podporo za nove gonilnike OSS (nvme in gvnic) za obravnavanje zahtev za shranjevanje in omrežnega prometa pri večji prepustnosti kot pri starejših protokolih. To je omogočilo preverjanje, ali so kazalniki uspešnosti zaupnih navideznih strojev podobni kazalcem običajnih virtualnih strojev.
Varna šifrirana virtualizacija, vgrajena v drugo generacijo procesorjev AMD EPYC, zagotavlja inovativno varnostno funkcijo strojne opreme, ki pomaga zaščititi podatke v virtualiziranem okolju. Da bi podprli nove GCE Confidential VMs N2D, smo sodelovali z Googlom, da bi strankam pomagali zaščititi njihove podatke in zagotoviti učinkovitost njihovih delovnih obremenitev. Zelo smo veseli, da zaupni navidezni računalniki zagotavljajo enako raven visoke zmogljivosti med delovnimi obremenitvami kot tipični navidezni računalniki N2D.
Raghu Nambiar, podpredsednik, Data Center Ecosystem, AMD
Tehnologija, ki spreminja igro
Zaupno računalništvo lahko pomaga spremeniti način, kako podjetja obdelujejo podatke v oblaku, hkrati pa ohranja zasebnost in varnost. Poleg drugih prednosti bodo podjetja lahko sodelovala brez ogrožanja tajnosti podatkovnih nizov. Takšno sodelovanje lahko posledično vodi do razvoja še bolj transformativnih tehnologij in idej, kot je zmožnost hitrega ustvarjanja cepiv in zdravljenja bolezni kot rezultat takšnega varnega sodelovanja.
Komaj čakamo, da vidimo priložnosti, ki jih ta tehnologija odpira vašemu podjetju. Poglej če želite izvedeti več.
PS Ne prvič in upam, da ne zadnjič, Google uvaja tehnologijo, ki spreminja svet. Kot se je nedavno zgodilo s Kubernetesom. Po svojih najboljših močeh podpiramo in distribuiramo tehnologije Goggle ter usposabljamo IT strokovnjake v Rusiji. Naše podjetje je eno od 3 Certificirani ponudnik storitev Kubernetes in edini Partner za usposabljanje Kubernetes v Rusiji. Zato vsako pomlad in jesen izvajamo intenzivne treninge Kubernetes. Naslednji intenzivni tečaji bodo od 28. do 30. septembra in 14.–16. oktober .
Vir: www.habr.com