På Google tror vi att framtiden för cloud computing i allt högre grad kommer att skifta mot privata, krypterade tjänster som ger användarna fullständigt förtroende för deras datas integritet.
Google Cloud krypterar redan kunddata under överföring och i vila, men det måste fortfarande dekrypteras för att kunna behandlas. Konfidentiell databehandling är en revolutionerande teknik som används för att kryptera data under bearbetning. Konfidentiella datormiljöer låter dig lagra krypterad data i RAM och andra platser utanför processorn (CPU).
Konfidentiella virtuella datorer är för närvarande i betatestning och är den första produkten i Google Cloud Confidential Computing-linjen. Vi använder redan olika isolerings- och sandlådetekniker i vår molninfrastruktur för att säkerställa säkerheten för en arkitektur med flera hyresgäster. Konfidentiella virtuella datorer tar säkerheten till nästa nivå genom att erbjuda kryptering i minnet för att ytterligare isolera deras arbetsbelastningar i molnet, vilket hjälper våra kunder att skydda känslig data. Vi tror att detta kommer att vara av särskilt intresse för dem som arbetar i reglerade branscher (kanske om GDPR och andra relaterade saker, cirka. översättare).
Öppnar nya möjligheter
Redan med Asylo, plattformen med öppen källkod för konfidentiell datoranvändning, har vi fokuserat på att göra konfidentiella datormiljöer enkla att distribuera och använda, och erbjuder hög prestanda och applikation för alla arbetsbelastningar du väljer att köra i molnet. Vi tror att du inte behöver kompromissa med användbarhet, flexibilitet, prestanda och säkerhet.
När konfidentiella virtuella datorer går in i beta, är vi den första stora molnleverantören som erbjuder denna nivå av säkerhet och isolering – och ger kunderna ett enkelt, lättanvänt alternativ för både nya applikationer och "porterade" (förmodligen om applikationer som kan köras i molnet utan betydande förändringar, cirka. översättare). Vi tillhandahåller:
-
Oöverträffad integritet: Kunder kan skydda integriteten för sina känsliga data i molnet, även när de bearbetas. Konfidentiella virtuella datorer utnyttjar funktionen Secure Encrypted Virtualization (SEV) i andra generationens AMD EPYC-processorer. Din data förblir krypterad under användning, indexering, sökning och utbildning. Krypteringsnycklar skapas i hårdvaran separat för varje virtuell maskin och lämnar aldrig hårdvaran.
-
Förbättrad innovation: Konfidentiell datoranvändning kan öppna upp bearbetningsscenarier som tidigare inte var möjliga. Företag kan nu dela sekretessbelagda datamängder och samarbeta kring forskning i molnet med bibehållen sekretess.
-
Sekretess för porterade arbetsbelastningar: Vårt mål är att förenkla konfidentiell datoranvändning. Övergången till konfidentiella virtuella datorer är sömlös - alla arbetsbelastningar i GCP som körs på virtuella datorer kan migrera till konfidentiella virtuella datorer. Det är enkelt - bara markera en ruta.
-
Avancerat hotskydd: Konfidentiell datoranvändning bygger på skyddet av skärmade virtuella datorer mot rootkits och bootkits, vilket hjälper till att säkerställa integriteten hos det operativsystem som valts för att köras i den konfidentiella virtuella datorn.
Grunderna i konfidentiella virtuella datorer
Konfidentiella virtuella datorer körs på virtuella N2D-maskiner som körs på andra generationens AMD EPYC-processorer. AMD:s SEV-funktion ger hög prestanda på de mest krävande beräkningsbelastningar samtidigt som den håller virtuell maskin RAM krypterat med en per-VM-nyckel som genereras och hanteras av EPYC-processorn. Nycklarna skapas av AMD Secure Processor-samprocessorn när den virtuella maskinen skapas och finns uteslutande i den, vilket gör dem oåtkomliga för både Google och andra virtuella maskiner som körs på samma nod.
Förutom inbyggd hårdvaru-RAM-kryptering bygger vi konfidentiella virtuella datorer ovanpå skärmade virtuella datorer för att ge manipuleringsmotstånd till operativsystembilden, verifiera integriteten hos firmware, kärnbinärfiler och drivrutiner. Bilder som erbjuds av Google inkluderar Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) och RHEL 8.2. Vi arbetar på Centos, Debian och andra för att erbjuda andra operativsystemavbildningar.
Vi har också ett nära samarbete med AMD Cloud Solutions ingenjörsteam för att säkerställa att kryptering av virtuell maskinminne inte påverkar prestandan. Vi har lagt till stöd för nya OSS-drivrutiner (nvme och gvnic) för att hantera lagringsförfrågningar och nätverkstrafik med högre genomströmning än äldre protokoll. Detta gjorde det möjligt att verifiera att prestandaindikatorerna för konfidentiella virtuella datorer ligger nära de för vanliga virtuella maskiner.
Secure Encrypted Virtualization, inbyggd i den andra generationen av AMD EPYC-processorer, tillhandahåller en innovativ maskinvarusäkerhetsfunktion som hjälper till att skydda data i en virtualiserad miljö. För att stödja de nya GCE Confidential VMs N2D, arbetade vi med Google för att hjälpa kunder att skydda sin data och säkerställa prestanda för deras arbetsbelastningar. Vi är mycket glada över att se att konfidentiella virtuella datorer levererar samma nivå av höga prestanda över arbetsbelastningar som vanliga virtuella N2D-datorer.
Raghu Nambiar, Vice President, Data Center Ecosystem, AMD
Game Changing Technology
Konfidentiell datoranvändning kan hjälpa till att förändra hur företag bearbetar data i molnet samtidigt som sekretess och säkerhet bibehålls. Dessutom, bland andra fördelar, kommer företag att kunna arbeta tillsammans utan att kompromissa med sekretessen för datamängder. Sådant samarbete kan i sin tur leda till utvecklingen av ännu mer transformativa teknologier och idéer, såsom möjligheten att snabbt skapa vacciner och behandla sjukdomar som ett resultat av ett sådant säkert samarbete.
Vi ser fram emot att se vilka möjligheter denna teknik öppnar för ditt företag. Se för att ta reda på mer.
PS Inte för första gången, och förhoppningsvis inte sista, Google rullar ut en teknik som förändrar världen. Som hände med Kubernetes ganska nyligen. Vi stödjer och distribuerar Goggle-teknologier efter bästa förmåga och utbildar IT-specialister i Ryssland. Vårt företag är ett av 3 Kubernetes Certified Service Provider och den enda Kubernetes utbildningspartner i Ryssland. Det är därför vi genomför intensiva Kubernetes-träningspass varje vår och höst. Nästa intensivkurser kommer att hållas den 28-30 september och 14–16 oktober .
Källa: will.com