У Гоогле-у верујемо да ће се будућност рачунарства у облаку све више померати ка приватним, шифрованим услугама које корисницима дају потпуно поверење у приватност њихових података.
Гоогле Цлоуд већ шифрује корисничке податке у преносу иу мировању, али их и даље треба дешифровати да би се обрадили. Поверљиво рачунарство је револуционарна технологија која се користи за шифровање података током обраде. Поверљива рачунарска окружења вам омогућавају да чувате шифроване податке у РАМ-у и на другим местима ван процесора (ЦПУ).
Поверљиви ВМ је тренутно у бета тестирању и први је производ у линији Гоогле Цлоуд Цонфидентиал Цомпутинг. Већ користимо различите технике изолације и сандбокинга у нашој инфраструктури облака како бисмо осигурали сигурност архитектуре са више закупаца. Поверљиви ВМ подижу безбедност на виши ниво нудећи шифровање у меморији како би додатно изоловали своја радна оптерећења у облаку, помажући нашим клијентима да заштите осетљиве податке. Мислимо да ће ово бити од посебног интереса за оне који раде у регулисаним индустријама (можда о ГДПР-у и другим сродним стварима, прибл. преводилац).
Отварање нових могућности
Већ са Асило, платформом отвореног кода за поверљиво рачунарство, фокусирали смо се на то да поверљива рачунарска окружења учинимо лаким за примену и коришћење, нудећи високе перформансе и примену за било које радно оптерећење које одлучите да радите у облаку. Верујемо да не морате да правите компромисе у погледу употребљивости, флексибилности, перформанси и безбедности.
Са поверљивим ВМ-овима који улазе у бета верзију, ми смо први велики провајдер у облаку који нуди овај ниво безбедности и изолације — и пружа корисницима једноставну опцију лаку за коришћење и за нове и за оне „портоване“ (вероватно о апликацијама које може да се покреће у облаку без значајних промена, прибл. преводилац). Нудимо:
Приватност без премца: Купци могу заштитити приватност својих осетљивих података у облаку, чак и док се обрађују. Поверљиви ВМ користе функцију Сецуре Енцриптед Виртуализатион (СЕВ) друге генерације АМД ЕПИЦ процесора. Ваши подаци остају шифровани током употребе, индексирања, упита и обуке. Кључеви за шифровање се креирају у хардверу посебно за сваку виртуелну машину и никада не напуштају хардвер.
Побољшане иновације: Поверљиво рачунарство може отворити сценарије обраде који раније нису били могући. Компаније сада могу да деле скупове поверљивих података и да сарађују на истраживању у облаку уз очување тајности.
Приватност за пренесена радна оптерећења: Наш циљ је да поједноставимо поверљиво рачунарство. Прелазак на поверљиве ВМ је беспрекоран – сва радна оптерећења у ГЦП-у који раде на виртуелним машинама могу да мигрирају на поверљиве ВМ. Једноставно је - само означите једно поље.
Напредна заштита од претњи: Поверљиво рачунарство се заснива на заштити заштићених ВМ-а од руткита и бооткита, помажући да се обезбеди интегритет оперативног система изабраног за рад у поверљивој ВМ.
Основе поверљивих ВМ
Поверљиви ВМ раде на Н2Д виртуелним машинама које раде на АМД ЕПИЦ процесорима друге генерације. АМД-ова СЕВ функција пружа високе перформансе на најзахтевнијим радним оптерећењима рачунара, а истовремено задржава РАМ виртуелне машине шифрованом помоћу кључа по ВМ који генерише и њиме управља ЕПИЦ процесор. Кључеве креира копроцесор АМД Сецуре Процессор када се креира виртуелна машина и налазе се искључиво у њој, што их чини недоступним и Гоогле-у и другим виртуелним машинама које раде на истом чвору.
Поред уграђене хардверске енкрипције РАМ меморије, градимо поверљиве виртуелне машине преко заштићених виртуелних машина како бисмо осигурали отпорност на неовлашћене измене слике оперативног система и верификацију интегритета фирмвера, бинарних датотека језгра и драјвера. Слике које нуди Google укључују Ubuntu КСНУМКС, Ubuntu 20.04, оперативни систем оптимизован за контејнере (COS v81) и RHEL 8.2. Радимо на Centos, Debian и друге да понуде слике других оперативних система.
Такође блиско сарађујемо са инжењерским тимом АМД Цлоуд Солутион како бисмо осигурали да шифровање меморије виртуелне машине не утиче на перформансе. Додали смо подршку за нове ОСС драјвере (нвме и гвниц) за руковање захтевима за складиштење и мрежним саобраћајем већом пропусношћу од старијих протокола. Ово је омогућило да се провери да ли су индикатори перформанси поверљивих ВМ-ова блиски онима код обичних виртуелних машина.
Сигурна шифрована виртуелизација, уграђена у другу генерацију АМД ЕПИЦ процесора, пружа иновативну хардверску безбедносну функцију која помаже у заштити података у виртуелизованом окружењу. Да бисмо подржали нове ГЦЕ Цонфидентиал ВМс Н2Д, сарађивали смо са Гоогле-ом како бисмо помогли клијентима да заштите своје податке и осигурају перформансе својих радних оптерећења. Одушевљени смо што видимо да поверљиви ВМ пружају исти ниво високих перформанси у радним оптерећењима као типични Н2Д ВМ.
Рагху Намбиар, потпредседник, Дата Центер Ецосистем, АМД
Технологија која мења игру
Поверљиво рачунарство може помоћи да се промени начин на који предузећа обрађују податке у облаку уз одржавање приватности и безбедности. Такође, између осталих погодности, компаније ће моћи да раде заједно без угрожавања тајности скупова података. Таква сарадња, заузврат, може довести до развоја још трансформативнијих технологија и идеја, као што је способност брзог креирања вакцина и лечења болести као резултат такве безбедне сарадње.
Једва чекамо да видимо могућности које ова технологија отвара за вашу компанију. Погледај да сазнате више.
ПС Не први пут, а надамо се ни последњи, Гоогле уводи технологију која мења свет. Као што се недавно догодило са Кубернетесом. Подржавамо и дистрибуирамо Гоггле технологије најбоље што можемо и обучавамо ИТ стручњаке у Русији. Наша компанија је једна од 3 Кубернетес сертификовани добављач услуга и једини Кубернетес партнер за обуку у Русији. Зато сваког пролећа и јесени спроводимо интензивне Кубернетес тренинге. Наредни интензивни курсеви одржаће се од 28. до 30. септембра и 14–16. октобра .
Извор: ввв.хабр.цом
