TL; DR: Tani mund të ekzekutoni Kubernetes nga Google.
Google sot (08.09.2020/XNUMX/XNUMX, përafërsisht. përkthyes) në ngjarje njoftoi zgjerimin e linjës së produkteve të saj me lançimin e një shërbimi të ri.
Nyjet konfidenciale GKE shtojnë më shumë privatësi në ngarkesat e punës që funksionojnë në Kubernetes. Në korrik u lançua produkti i parë i quajtur , dhe sot këto makina virtuale janë tashmë të disponueshme publikisht për të gjithë.
Informatika Konfidenciale është një produkt i ri që përfshin ruajtjen e të dhënave në formë të koduar ndërsa ato janë duke u përpunuar. Kjo është lidhja e fundit në zinxhirin e enkriptimit të të dhënave, pasi ofruesit e shërbimeve cloud tashmë kodojnë të dhënat brenda dhe jashtë. Deri kohët e fundit, ishte e nevojshme të deshifroheshin të dhënat ndërsa përpunoheshin, dhe shumë ekspertë e shohin këtë si një vrimë të dukshme në fushën e kriptimit të të dhënave.
Iniciativa Konfidenciale Kompjuterike e Google bazohet në një bashkëpunim me Konsorciumin Konfidencial të Llogaritjes, një grup industrie për të promovuar konceptin e Mjediseve të Ekzekutimit të Besuar (TEE). TEE është një pjesë e sigurt e procesorit në të cilën të dhënat dhe kodi i ngarkuar janë të koduara, që do të thotë se ky informacion nuk mund të aksesohet nga pjesët e tjera të të njëjtit procesor.
VM-të konfidenciale të Google funksionojnë në makina virtuale N2D që funksionojnë në procesorët EPYC të gjeneratës së dytë të AMD, të cilët përdorin teknologjinë e Virtualizimit të Enkriptuar të Sigurt për të izoluar makinat virtuale nga hipervizori në të cilin funksionojnë. Ekziston një garanci që të dhënat mbeten të koduara pavarësisht nga përdorimi i tyre: ngarkesat e punës, analitika, kërkesat për modele trajnimi për inteligjencën artificiale. Këto makina virtuale janë krijuar për të përmbushur nevojat e çdo kompanie që trajton të dhëna të ndjeshme në fusha të rregulluara si industria bankare.
Ndoshta më i ngutshëm është njoftimi i testimit të ardhshëm beta të nyjeve Konfidenciale GKE, të cilat Google thotë se do të prezantohen në versionin e ardhshëm 1.18 (GKE). GKE është një mjedis i menaxhuar, gati për prodhim, për drejtimin e kontejnerëve që strehojnë pjesë të aplikacioneve moderne që mund të ekzekutohen nëpër mjedise të shumta kompjuterike. Kubernetes është një mjet orkestrimi me burim të hapur që përdoret për të menaxhuar këto kontejnerë.
Shtimi i nyjeve Konfidenciale GKE siguron privatësi më të madhe kur ekzekutohen grupet GKE. Kur shtonim një produkt të ri në linjën Konfidenciale Kompjuterike, ne donim të siguronim një nivel të ri të
privatësi dhe transportueshmëri për ngarkesat e punës me kontejnerë. Nyjet Konfidenciale GKE të Google janë ndërtuar në të njëjtën teknologji si VM-të Konfidenciale, duke ju lejuar të kriptoni të dhënat në memorie duke përdorur një çelës enkriptimi specifik për një nyje të krijuar dhe menaxhuar nga procesori AMD EPYC. Këto nyje do të përdorin kriptimin e RAM-it të bazuar në harduer, bazuar në veçorinë SEV të AMD, që do të thotë se ngarkesat tuaja të punës që ekzekutohen në këto nyje do të kodohen ndërsa ato janë duke u ekzekutuar.
Sunil Potti dhe Eyal Manor, Cloud Engineers, Google
Në nyjet Konfidenciale GKE, klientët mund të konfigurojnë grupimet GKE në mënyrë që grupet e nyjeve të funksionojnë në VM Konfidenciale. E thënë thjesht, çdo ngarkesë pune që ekzekutohet në këto nyje do të kodohet ndërsa të dhënat përpunohen.
Shumë ndërmarrje kërkojnë edhe më shumë privatësi kur përdorin shërbimet publike të resë kompjuterike sesa për ngarkesat e punës në ambiente që funksionojnë në ambiente për t'u mbrojtur nga sulmuesit. Zgjerimi i linjës së tij Confidential Computing nga Google Cloud e ngre këtë shirit duke u ofruar përdoruesve mundësinë për të siguruar fshehtësi për grupimet GKE. Dhe duke pasur parasysh popullaritetin e tij, Kubernetes është një hap kyç përpara për industrinë, duke u dhënë kompanive më shumë opsione për të pritur në mënyrë të sigurt aplikacionet e gjeneratës së ardhshme në renë publike.
Holger Mueller, Analist në Constellation Research.
NB Kompania jonë po fillon një kurs intensiv të përditësuar në datat 28-30 shtator për ata që nuk e njohin ende Kubernetes, por duan të njihen me të dhe të fillojnë të punojnë. Dhe pas kësaj ngjarje në 14–16 tetor, ne po lançojmë një të përditësuar për përdoruesit me përvojë të Kubernetes për të cilët është e rëndësishme të njohin të gjitha zgjidhjet më të fundit praktike në punën me versionet më të fundit të Kubernetes dhe "rake" e mundshme. Aktiv Ne do të analizojmë në teori dhe në praktikë ndërlikimet e instalimit dhe konfigurimit të një grupi të gatshëm për prodhimin (“mënyra jo aq e lehtë”), mekanizmat për sigurimin e sigurisë dhe tolerancës ndaj gabimeve të aplikacioneve.
Ndër të tjera, Google tha se VM-të e tij Konfidenciale do të fitojnë disa veçori të reja pasi ato bëhen përgjithësisht të disponueshme duke filluar nga sot. Për shembull, u shfaqën raportet e auditimit që përmbanin regjistra të detajuar të kontrollit të integritetit të firmuerit AMD Secure Processor të përdorur për të gjeneruar çelësa për çdo shembull të VM-ve Konfidenciale.
Ekzistojnë gjithashtu më shumë kontrolle për vendosjen e të drejtave specifike të aksesit, dhe Google ka shtuar gjithashtu mundësinë për të çaktivizuar çdo makinë virtuale të paklasifikuar në një projekt të caktuar. Google gjithashtu lidh VM-të konfidenciale me mekanizma të tjerë të privatësisë për të ofruar siguri.
Ju mund të përdorni një kombinim të VPC-ve të përbashkëta me rregullat e murit të zjarrit dhe kufizimet e politikave të organizatës për të siguruar që VM-të Konfidenciale mund të komunikojnë me VM-të e tjera Konfidenciale, edhe nëse ato janë duke ekzekutuar në projekte të ndryshme. Për më tepër, mund të përdorni Kontrollet e Shërbimit VPC për të vendosur hapësirën e burimit GCP për VM-të tuaja konfidenciale.
Sunil Potti dhe Eyal Manor
Burimi: www.habr.com