โปรโฮสต์ > บล็อก > การบริหาร > Google เพิ่มการสนับสนุน Kubernetes ให้กับ Confidential Computing

Google เพิ่มการสนับสนุน Kubernetes ให้กับ Confidential Computing

TL; DR: ตอนนี้คุณสามารถรัน Kubernetes ได้แล้ว VM ที่เป็นความลับ จาก Google

Google เพิ่มการสนับสนุน Kubernetes ให้กับ Confidential Computing

Google วันนี้ (08.09.2020/XNUMX/XNUMX ประมาณ นักแปล) ภายในงาน คลาวด์เน็กซ์ออนแอร์ ประกาศขยายสายผลิตภัณฑ์ด้วยการเปิดตัวบริการใหม่

โหนด GKE ที่เป็นความลับจะเพิ่มความเป็นส่วนตัวให้กับภาระงานที่ทำงานบน Kubernetes มากขึ้น ในเดือนกรกฎาคมมีการเปิดตัวผลิตภัณฑ์ตัวแรกที่เรียกว่า VM ที่เป็นความลับและทุกวันนี้เครื่องเสมือนเหล่านี้ก็เปิดให้ทุกคนเข้าถึงได้แบบสาธารณะแล้ว

Confidential Computing เป็นผลิตภัณฑ์ใหม่ที่เกี่ยวข้องกับการจัดเก็บข้อมูลในรูปแบบที่เข้ารหัสในขณะที่กำลังประมวลผล นี่คือลิงก์สุดท้ายในห่วงโซ่การเข้ารหัสข้อมูล เนื่องจากผู้ให้บริการระบบคลาวด์เข้ารหัสข้อมูลเข้าและออกแล้ว จนกระทั่งเมื่อไม่นานมานี้ มีความจำเป็นต้องถอดรหัสข้อมูลในขณะที่มีการประมวลผล และผู้เชี่ยวชาญหลายคนมองว่านี่เป็นช่องโหว่ที่เห็นได้ชัดในด้านการเข้ารหัสข้อมูล

Confidential Computing Initiative ของ Google มีพื้นฐานมาจากความร่วมมือกับ Confidential Computing Consortium ซึ่งเป็นกลุ่มอุตสาหกรรมที่ส่งเสริมแนวคิด Trusted Execution Environments (TEE) TEE เป็นส่วนที่ปลอดภัยของโปรเซสเซอร์ซึ่งมีการเข้ารหัสข้อมูลและโค้ดที่โหลด ซึ่งหมายความว่าส่วนอื่น ๆ ของโปรเซสเซอร์เดียวกันจะไม่สามารถเข้าถึงข้อมูลนี้ได้

Confidential VM ของ Google ทำงานบนเครื่องเสมือน N2D ที่ทำงานบนโปรเซสเซอร์ EPYC รุ่นที่สองของ AMD ซึ่งใช้เทคโนโลยี Secure Encrypted Virtualization เพื่อแยกเครื่องเสมือนออกจากไฮเปอร์ไวเซอร์ที่เครื่องเหล่านั้นทำงาน มีการรับประกันว่าข้อมูลยังคงถูกเข้ารหัสโดยไม่คำนึงถึงการใช้งาน: ปริมาณงาน การวิเคราะห์ คำขอแบบจำลองการฝึกอบรมสำหรับปัญญาประดิษฐ์ เครื่องเสมือนเหล่านี้ได้รับการออกแบบมาเพื่อตอบสนองความต้องการของบริษัทใดๆ ก็ตามที่จัดการข้อมูลที่ละเอียดอ่อนในพื้นที่ควบคุม เช่น อุตสาหกรรมการธนาคาร

บางทีสิ่งที่เร่งด่วนกว่านั้นคือการประกาศการทดสอบเบต้าของโหนด Confidential GKE ซึ่ง Google กล่าวว่าจะเปิดตัวในรุ่น 1.18 ที่กำลังจะมาถึง เครื่องยนต์ Google Kubernetes (จีเคอี). GKE คือสภาพแวดล้อมที่มีการจัดการและพร้อมสำหรับการใช้งานจริงสำหรับการเรียกใช้คอนเทนเนอร์ที่โฮสต์ส่วนของแอปพลิเคชันสมัยใหม่ที่ทำงานในสภาพแวดล้อมการประมวลผลหลายแบบได้ Kubernetes เป็นเครื่องมือประสานโอเพนซอร์สที่ใช้จัดการคอนเทนเนอร์เหล่านี้

การเพิ่มโหนด GKE ที่เป็นความลับช่วยเพิ่มความเป็นส่วนตัวมากขึ้นเมื่อเรียกใช้คลัสเตอร์ GKE เมื่อเพิ่มผลิตภัณฑ์ใหม่ในกลุ่มผลิตภัณฑ์ Confidential Computing เราต้องการมอบระดับใหม่ของ
ความเป็นส่วนตัวและความสะดวกในการพกพาสำหรับเวิร์กโหลดแบบคอนเทนเนอร์ โหนด Confidential GKE ของ Google สร้างขึ้นจากเทคโนโลยีเดียวกับ Confidential VM ซึ่งช่วยให้คุณสามารถเข้ารหัสข้อมูลในหน่วยความจำโดยใช้คีย์การเข้ารหัสเฉพาะโหนดที่สร้างและจัดการโดยโปรเซสเซอร์ AMD EPYC โหนดเหล่านี้จะใช้การเข้ารหัส RAM บนฮาร์ดแวร์ตามคุณสมบัติ SEV ของ AMD ซึ่งหมายความว่าปริมาณงานของคุณที่ทำงานบนโหนดเหล่านี้จะถูกเข้ารหัสในขณะที่กำลังทำงานอยู่

Sunil Potti และ Eyal Manor วิศวกรระบบคลาวด์ของ Google

ในโหนด Confidential GKE ลูกค้าจะกำหนดค่าคลัสเตอร์ GKE เพื่อให้ Node Pool ทำงานบน Confidential VM ได้ พูดง่ายๆ ก็คือ ปริมาณงานใดๆ ที่ทำงานบนโหนดเหล่านี้จะถูกเข้ารหัสในขณะที่ข้อมูลถูกประมวลผล

องค์กรจำนวนมากต้องการความเป็นส่วนตัวมากขึ้นเมื่อใช้บริการคลาวด์สาธารณะมากกว่าที่ต้องการกับปริมาณงานในองค์กรที่ทำงานในองค์กรเพื่อป้องกันผู้โจมตี การขยายกลุ่มผลิตภัณฑ์ Confidential Computing ของ Google Cloud ยกระดับมาตรฐานนี้ด้วยการให้ผู้ใช้สามารถจัดเตรียมการรักษาความลับสำหรับคลัสเตอร์ GKE ได้ และเมื่อพิจารณาถึงความนิยม Kubernetes ถือเป็นก้าวสำคัญสำหรับอุตสาหกรรม ทำให้บริษัทต่างๆ มีทางเลือกมากขึ้นในการโฮสต์แอปพลิเคชันรุ่นต่อไปอย่างปลอดภัยในระบบคลาวด์สาธารณะ

Holger Mueller นักวิเคราะห์จาก Constellation Research

NB บริษัทของเรากำลังเปิดตัวหลักสูตรเร่งรัดที่อัปเดตในวันที่ 28-30 กันยายน ฐาน Kubernetes สำหรับผู้ที่ยังไม่รู้จัก Kubernetes แต่ต้องการทำความคุ้นเคยและเริ่มทำงาน และหลังจากกิจกรรมนี้ในวันที่ 14–16 ตุลาคม เราจะเปิดตัวการอัปเดต Kubernetes เมกะ สำหรับผู้ใช้ Kubernetes ที่มีประสบการณ์ซึ่งเป็นสิ่งสำคัญที่จะต้องทราบโซลูชันเชิงปฏิบัติล่าสุดทั้งหมดในการทำงานกับ Kubernetes เวอร์ชันล่าสุดและ "คราด" ที่เป็นไปได้ บน Kubernetes เมกะ เราจะวิเคราะห์ในทางทฤษฎีและในทางปฏิบัติถึงความซับซ้อนของการติดตั้งและกำหนดค่าคลัสเตอร์ที่พร้อมสำหรับการผลิต (“วิธีที่ไม่ง่ายนัก”) ซึ่งเป็นกลไกในการรับรองความปลอดภัยและความทนทานต่อข้อผิดพลาดของแอปพลิเคชัน

เหนือสิ่งอื่นใด Google กล่าวว่า Confidential VM จะได้รับคุณสมบัติใหม่บางอย่างเมื่อเปิดให้ใช้งานทั่วไปตั้งแต่วันนี้ ตัวอย่างเช่น รายงานการตรวจสอบปรากฏขึ้นพร้อมบันทึกโดยละเอียดของการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ AMD Secure Processor ที่ใช้สร้างคีย์สำหรับอินสแตนซ์ Confidential VM แต่ละอินสแตนซ์

นอกจากนี้ยังมีการควบคุมเพิ่มเติมสำหรับการตั้งค่าสิทธิ์การเข้าถึงเฉพาะ และ Google ยังได้เพิ่มความสามารถในการปิดการใช้งานเครื่องเสมือนที่ไม่ได้จัดประเภทในโปรเจ็กต์ที่กำหนด Google ยังเชื่อมต่อ VM ที่เป็นความลับกับกลไกความเป็นส่วนตัวอื่นๆ เพื่อมอบความปลอดภัย

คุณสามารถใช้ VPC ที่แชร์ร่วมกับกฎไฟร์วอลล์และข้อจำกัดนโยบายองค์กรได้ เพื่อให้มั่นใจว่า Confidential VM สามารถสื่อสารกับ Confidential VM อื่นๆ ได้ แม้ว่าจะทำงานในโปรเจ็กต์ที่แตกต่างกันก็ตาม นอกจากนี้ คุณยังใช้การควบคุมบริการ VPC เพื่อกำหนดขอบเขตทรัพยากร GCP สำหรับ VM ที่เป็นความลับได้

สุนิล พอตติ และคฤหาสน์อายัล

ที่มา: will.com

เพิ่มความคิดเห็น