Në Google, ne besojmë se e ardhmja e kompjuterit cloud do të zhvendoset gjithnjë e më shumë drejt shërbimeve private, të koduara që u japin përdoruesve besim të plotë në privatësinë e të dhënave të tyre.
Google Cloud tashmë kodon të dhënat e klientit në tranzit dhe në pushim, por ato ende duhet të deshifrohen për t'u përpunuar. Llogaritja konfidenciale është një teknologji revolucionare që përdoret për të enkriptuar të dhënat gjatë përpunimit. Mjediset konfidenciale kompjuterike ju lejojnë të ruani të dhëna të koduara në RAM dhe vende të tjera jashtë procesorit (CPU).
VM-të konfidenciale janë aktualisht në testim beta dhe janë produkti i parë në linjën Google Cloud Confidential Computing. Ne përdorim tashmë teknika të ndryshme izolimi dhe sandboxing në infrastrukturën tonë cloud për të garantuar sigurinë e një arkitekture me shumë qiramarrës. VM-të konfidenciale e çojnë sigurinë në një nivel tjetër duke ofruar enkriptim në memorie për të izoluar më tej ngarkesat e tyre të punës në cloud, duke ndihmuar klientët tanë të mbrojnë të dhënat e ndjeshme. Ne mendojmë se kjo do të jetë me interes të veçantë për ata që punojnë në industri të rregulluara (ndoshta për GDPR dhe gjëra të tjera të ngjashme, përafërsisht. përkthyes).
Hapja e mundësive të reja
Tashmë me Asylo, platformën me burim të hapur për llogaritjen konfidenciale, ne jemi fokusuar në bërjen e mjediseve kompjuterike konfidenciale të lehta për t'u vendosur dhe përdorur, duke ofruar performancë dhe aplikim të lartë për çdo ngarkesë pune që zgjidhni të ekzekutoni në cloud. Ne besojmë se nuk keni nevojë të bëni kompromis për përdorshmërinë, fleksibilitetin, performancën dhe sigurinë.
Me VM-të konfidenciale që hyjnë në beta, ne jemi ofruesi i parë kryesor i reve kompjuterike që ofrojmë këtë nivel sigurie dhe izolimi—dhe u ofrojmë klientëve një opsion të thjeshtë dhe të lehtë për t'u përdorur si për aplikacionet e reja ashtu edhe për ato të "portuara" (ndoshta për aplikacionet që mund të ekzekutohet në re pa ndryshime të rëndësishme, përafërsisht. përkthyes). Ne mundesojme:
-
Privatësia e pakrahasueshme: Klientët mund të mbrojnë privatësinë e të dhënave të tyre të ndjeshme në cloud, edhe kur ato janë duke u përpunuar. VM-të konfidenciale përdorin veçorinë e Virtualizimit të Sigurt të Enkriptuar (SEV) të procesorëve të gjeneratës së dytë AMD EPYC. Të dhënat tuaja mbeten të koduara gjatë përdorimit, indeksimit, kërkimit dhe trajnimit. Çelësat e enkriptimit krijohen në harduer veçmas për secilën makinë virtuale dhe nuk largohen kurrë nga hardueri.
-
Inovacioni i përmirësuar: llogaritja konfidenciale mund të hapë skenarë përpunimi që më parë nuk ishin të mundur. Kompanitë tani mund të ndajnë grupe të dhënash të klasifikuara dhe të bashkëpunojnë në kërkime në cloud duke ruajtur sekretin.
-
Privatësia për ngarkesat e transferuara të punës: Qëllimi ynë është të thjeshtojmë llogaritjen konfidenciale. Kalimi te VM-të Konfidenciale është pa probleme - të gjitha ngarkesat e punës në GCP që funksionojnë në makinat virtuale mund të migrojnë në VM-të Konfidenciale. Është e thjeshtë - thjesht kontrolloni një kuti.
-
Mbrojtje e avancuar nga kërcënimet: Llogaritja konfidenciale bazohet në mbrojtjen e VM-ve të mbrojtura kundër rootkit dhe bootkits, duke ndihmuar në sigurimin e integritetit të sistemit operativ të zgjedhur për të ekzekutuar në VM Konfidenciale.
Bazat e VM-ve Konfidenciale
VM-të konfidenciale funksionojnë në makina virtuale N2D që funksionojnë në procesorë AMD EPYC të gjeneratës së dytë. Veçoria SEV e AMD jep performancë të lartë në ngarkesat më të kërkuara të punës llogaritëse, ndërkohë që mban të koduar RAM-in e makinës virtuale me një çelës për VM të krijuar dhe menaxhuar nga procesori EPYC. Çelësat krijohen nga bashkëprocesori AMD Secure Processor kur krijohet makina virtuale dhe ndodhen ekskluzivisht në të, gjë që i bën ata të paarritshëm si për Google ashtu edhe për makinat e tjera virtuale që funksionojnë në të njëjtën nyje.
Përveç enkriptimit të integruar të RAM-it të harduerit, ne ndërtojmë VM Konfidenciale në krye të VM-ve të mbrojtura për të ofruar imazhe të sistemit operativ rezistent ndaj ndërhyrjeve, kontrolle të integritetit të firmuerit, binarët e kernelit dhe drejtuesit. Imazhet e ofruara nga Google përfshijnë Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) dhe RHEL 8.2. Ne jemi duke punuar në Centos, Debian dhe të tjerë për të ofruar imazhe të tjera të sistemit operativ.
Ne punojmë gjithashtu ngushtë me ekipin inxhinierik të AMD Cloud Solution për të siguruar që enkriptimi i kujtesës së makinës virtuale të mos ndikojë në performancën. Ne kemi shtuar mbështetje për drejtuesit e rinj të OSS (nvme dhe gvnic) për të trajtuar kërkesat e ruajtjes dhe trafikun e rrjetit me xhiro më të lartë se protokollet e vjetra. Kjo bëri të mundur verifikimin që treguesit e performancës së VM-ve Konfidenciale janë afër atyre të makinave të zakonshme virtuale.
Virtualizimi i sigurt i koduar, i integruar në gjeneratën e dytë të procesorëve AMD EPYC, ofron një veçori inovative të sigurisë së harduerit që ndihmon në mbrojtjen e të dhënave në një mjedis të virtualizuar. Për të mbështetur VM-të e reja GCE Confidential N2D, ne punuam me Google për të ndihmuar klientët të mbrojnë të dhënat e tyre dhe të sigurojnë performancën e ngarkesave të tyre të punës. Jemi shumë të kënaqur të shohim që VM-të konfidenciale ofrojnë të njëjtin nivel të performancës së lartë përgjatë ngarkesave të punës si VM-të tipike N2D.
Raghu Nambiar, Zëvendës President, Ekosistemi i Qendrës së të Dhënave, AMD
Loja Ndryshimi i Teknologjisë
Llogaritja konfidenciale mund të ndihmojë në ndryshimin e mënyrës se si ndërmarrjet përpunojnë të dhënat në cloud duke ruajtur privatësinë dhe sigurinë. Gjithashtu, ndër përfitimet e tjera, kompanitë do të jenë në gjendje të punojnë së bashku pa cenuar sekretin e grupeve të të dhënave. Një bashkëpunim i tillë, nga ana tjetër, mund të çojë në zhvillimin e teknologjive dhe ideve edhe më transformuese, të tilla si aftësia për të krijuar shpejt vaksina dhe për të trajtuar sëmundjet si rezultat i një bashkëpunimi të tillë të sigurt.
Mezi presim të shohim mundësitë që kjo teknologji hap për kompaninë tuaj. Shikoni për të zbuluar më shumë.
PS Jo për herë të parë, dhe shpresojmë jo për herë të fundit, Google nxjerr një teknologji që ndryshon botën. Siç ndodhi me Kubernetes kohët e fundit. Ne mbështesim dhe shpërndajmë teknologjitë Goggle me të mirën e aftësisë sonë dhe trajnojmë specialistë të IT-së në Rusi. Kompania jonë është një nga 3 Ofrues shërbimi i certifikuar Kubernetes dhe i vetmi Partner Trajnues Kubernetes në Rusi. Kjo është arsyeja pse ne zhvillojmë seanca trajnimi intensive të Kubernetes çdo pranverë dhe vjeshtë. Kurset e radhës intensive do të zhvillohen në datat 28-30 shtator dhe 14-16 tetor .
Burimi: www.habr.com