ที่ Google เราเชื่อว่าอนาคตของการประมวลผลแบบคลาวด์จะเปลี่ยนไปสู่บริการเข้ารหัสส่วนตัวที่ให้ผู้ใช้มั่นใจในความเป็นส่วนตัวของข้อมูลของตนมากขึ้น
Google Cloud เข้ารหัสข้อมูลลูกค้าระหว่างการส่งและพักการใช้งานอยู่แล้ว แต่ยังต้องมีการถอดรหัสจึงจะประมวลผลได้ การประมวลผลที่เป็นความลับ เป็นเทคโนโลยีปฏิวัติที่ใช้ในการเข้ารหัสข้อมูลระหว่างการประมวลผล สภาพแวดล้อมการประมวลผลที่เป็นความลับช่วยให้คุณสามารถจัดเก็บข้อมูลที่เข้ารหัสไว้ใน RAM และที่อื่นๆ ภายนอกโปรเซสเซอร์ (CPU)
ขณะนี้ Confidential VM อยู่ในการทดสอบเบต้าและเป็นผลิตภัณฑ์แรกในกลุ่มผลิตภัณฑ์ Google Cloud Confidential Computing เราใช้เทคนิคการแยกและแซนด์บ็อกซ์ที่หลากหลายในโครงสร้างพื้นฐานคลาวด์ของเราเพื่อให้มั่นใจถึงความปลอดภัยของสถาปัตยกรรมที่มีผู้เช่าหลายราย VM ที่เป็นความลับยกระดับการรักษาความปลอดภัยไปอีกระดับด้วยการนำเสนอการเข้ารหัสในหน่วยความจำเพื่อแยกปริมาณงานในระบบคลาวด์เพิ่มเติม ช่วยให้ลูกค้าของเราปกป้องข้อมูลที่ละเอียดอ่อน เราคิดว่าสิ่งนี้จะน่าสนใจเป็นพิเศษสำหรับผู้ที่ทำงานในอุตสาหกรรมที่มีการควบคุม (อาจเกี่ยวกับ GDPR และเรื่องอื่น ๆ ที่เกี่ยวข้อง ประมาณ นักแปล).
เปิดโอกาสใหม่ๆ
ด้วย Asylo ซึ่งเป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการประมวลผลที่เป็นความลับ เราได้มุ่งเน้นไปที่การทำให้สภาพแวดล้อมการประมวลผลที่เป็นความลับง่ายต่อการปรับใช้และใช้งาน โดยนำเสนอประสิทธิภาพและแอปพลิเคชันระดับสูงสำหรับปริมาณงานใดๆ ที่คุณเลือกเรียกใช้ในระบบคลาวด์ เราเชื่อว่าคุณไม่จำเป็นต้องประนีประนอมกับการใช้งาน ความยืดหยุ่น ประสิทธิภาพ และความปลอดภัย
เมื่อ Confidential VM เข้าสู่รุ่นเบต้า เราจึงเป็นผู้ให้บริการระบบคลาวด์รายใหญ่รายแรกที่เสนอการรักษาความปลอดภัยและการแยกส่วนในระดับนี้ และมอบตัวเลือกที่เรียบง่ายและใช้งานง่ายให้กับลูกค้าสำหรับทั้งแอปพลิเคชันใหม่และแอปพลิเคชันที่ "พอร์ต" (อาจเกี่ยวกับแอปพลิเคชันที่ สามารถรันบนคลาวด์ได้โดยไม่มีการเปลี่ยนแปลงที่สำคัญ ประมาณ นักแปล). เราให้บริการ:
-
ความเป็นส่วนตัวที่ไม่มีใครเทียบ: ลูกค้าสามารถปกป้องความเป็นส่วนตัวของข้อมูลที่ละเอียดอ่อนในระบบคลาวด์ได้ แม้ในขณะที่กำลังประมวลผลก็ตาม VM ที่เป็นความลับใช้ประโยชน์จากคุณสมบัติ Secure Encrypted Virtualization (SEV) ของโปรเซสเซอร์ AMD EPYC รุ่นที่สอง ข้อมูลของคุณยังคงได้รับการเข้ารหัสระหว่างการใช้งาน การจัดทำดัชนี การสืบค้น และการฝึกอบรม คีย์การเข้ารหัสจะถูกสร้างขึ้นในฮาร์ดแวร์แยกกันสำหรับเครื่องเสมือนแต่ละเครื่องและจะไม่ทิ้งฮาร์ดแวร์ไว้
-
นวัตกรรมที่ได้รับการปรับปรุง: การประมวลผลที่เป็นความลับสามารถเปิดสถานการณ์การประมวลผลที่ไม่เคยทำได้มาก่อน ขณะนี้บริษัทต่างๆ สามารถแบ่งปันชุดข้อมูลที่เป็นความลับและทำงานร่วมกันในการวิจัยในระบบคลาวด์โดยยังคงรักษาความลับไว้ได้
-
ความเป็นส่วนตัวสำหรับปริมาณงานที่ถูกพอร์ต: เป้าหมายของเราคือการลดความซับซ้อนของการประมวลผลที่เป็นความลับ การเปลี่ยนไปใช้ Confidential VM เป็นไปอย่างราบรื่น โดยภาระงานทั้งหมดใน GCP ที่ทำงานอยู่ในเครื่องเสมือนสามารถย้ายข้อมูลไปยัง Confidential VM ได้ ง่ายมาก เพียงทำเครื่องหมายในช่องเดียว
-
การป้องกันภัยคุกคามขั้นสูง: การประมวลผลที่เป็นความลับสร้างขึ้นบนการป้องกันของ Shielded VM จากรูทคิทและบูทคิท ช่วยให้มั่นใจในความสมบูรณ์ของระบบปฏิบัติการที่เลือกให้ทำงานใน Confidential VM
พื้นฐานของ VM ที่เป็นความลับ
VM ที่เป็นความลับทำงานบนเครื่องเสมือน N2D ที่ทำงานบนโปรเซสเซอร์ AMD EPYC รุ่นที่สอง คุณสมบัติ SEV ของ AMD มอบประสิทธิภาพสูงบนเวิร์กโหลดการประมวลผลที่มีความต้องการมากที่สุด ในขณะเดียวกันก็รักษา RAM ของเครื่องเสมือนที่เข้ารหัสด้วยคีย์ต่อ VM ที่สร้างและจัดการโดยโปรเซสเซอร์ EPYC คีย์ถูกสร้างขึ้นโดยโปรเซสเซอร์ร่วม AMD Secure เมื่อสร้างเครื่องเสมือนและอยู่ในนั้นโดยเฉพาะ ซึ่งทำให้ไม่สามารถเข้าถึงได้ทั้ง Google และเครื่องเสมือนอื่น ๆ ที่ทำงานบนโหนดเดียวกัน
นอกเหนือจากการเข้ารหัส RAM ฮาร์ดแวร์ในตัวแล้ว เรายังสร้าง Confidential VM ที่ด้านบนของ Shielded VM เพื่อป้องกันการงัดแงะอิมเมจระบบปฏิบัติการ ตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ ไบนารีเคอร์เนล และไดรเวอร์ รูปภาพที่นำเสนอโดย Google ได้แก่ Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) และ RHEL 8.2 เรากำลังพัฒนา Centos, Debian และอื่นๆ เพื่อนำเสนออิมเมจระบบปฏิบัติการอื่นๆ
นอกจากนี้เรายังทำงานอย่างใกล้ชิดกับทีมวิศวกรรมโซลูชันคลาวด์ของ AMD เพื่อให้แน่ใจว่าการเข้ารหัสหน่วยความจำเครื่องเสมือนจะไม่ส่งผลกระทบต่อประสิทธิภาพการทำงาน เราได้เพิ่มการรองรับไดรเวอร์ OSS ใหม่ (nvme และ gvnic) เพื่อจัดการคำขอพื้นที่เก็บข้อมูลและการรับส่งข้อมูลเครือข่ายด้วยปริมาณงานที่สูงกว่าโปรโตคอลรุ่นเก่า ซึ่งทำให้สามารถตรวจสอบได้ว่าตัวบ่งชี้ประสิทธิภาพของ Confidential VM นั้นใกล้เคียงกับเครื่องเสมือนทั่วไปหรือไม่
Secure Encrypted Virtualization สร้างขึ้นในโปรเซสเซอร์ AMD EPYC รุ่นที่สอง มอบคุณสมบัติการรักษาความปลอดภัยของฮาร์ดแวร์ที่เป็นนวัตกรรมใหม่ที่ช่วยปกป้องข้อมูลในสภาพแวดล้อมเสมือนจริง เพื่อรองรับ GCE Confidential VMs N2D ใหม่ เราได้ทำงานร่วมกับ Google เพื่อช่วยลูกค้าปกป้องข้อมูลและรับประกันประสิทธิภาพของภาระงาน เรายินดีเป็นอย่างยิ่งที่ได้เห็นว่า Confidential VM มอบประสิทธิภาพสูงในระดับเดียวกับปริมาณงานเช่นเดียวกับ N2D VM ทั่วไป
Raghu Nambiar รองประธาน ระบบนิเวศศูนย์ข้อมูล AMD
เทคโนโลยีการเปลี่ยนแปลงเกม
การประมวลผลที่เป็นความลับสามารถช่วยเปลี่ยนวิธีที่องค์กรประมวลผลข้อมูลในระบบคลาวด์ในขณะที่ยังคงรักษาความเป็นส่วนตัวและความปลอดภัย นอกจากนี้ เหนือผลประโยชน์อื่นๆ บริษัทต่างๆ จะสามารถทำงานร่วมกันได้โดยไม่กระทบต่อการรักษาความลับของชุดข้อมูล การทำงานร่วมกันดังกล่าวสามารถนำไปสู่การพัฒนาเทคโนโลยีและแนวคิดที่เปลี่ยนแปลงได้มากขึ้น เช่น ความสามารถในการสร้างวัคซีนและรักษาโรคได้อย่างรวดเร็วอันเป็นผลมาจากความร่วมมือที่ปลอดภัยดังกล่าว
เราแทบรอไม่ไหวที่จะเห็นโอกาสที่เทคโนโลยีนี้เปิดให้กับบริษัทของคุณ ดู เพื่อหาข้อมูลเพิ่มเติม
PS ไม่ใช่ครั้งแรกและหวังว่าจะไม่ใช่ครั้งสุดท้ายที่ Google เปิดตัวเทคโนโลยีที่จะเปลี่ยนแปลงโลก อย่างที่เกิดขึ้นกับ Kubernetes เมื่อไม่นานมานี้ เราสนับสนุนและจัดจำหน่ายเทคโนโลยี Goggle อย่างเต็มความสามารถและฝึกอบรมผู้เชี่ยวชาญด้านไอทีในรัสเซีย บริษัทของเราเป็นหนึ่งใน 3 ผู้ให้บริการที่ผ่านการรับรอง Kubernetes และเป็นคนเดียวเท่านั้น พันธมิตรการฝึกอบรม Kubernetes ในประเทศรัสเซีย. นั่นเป็นเหตุผลที่เราจัดเซสชันการฝึกอบรม Kubernetes อย่างเข้มข้นทุกฤดูใบไม้ผลิและฤดูใบไม้ร่วง หลักสูตรเร่งรัดครั้งต่อไปจะจัดขึ้นในวันที่ 28-30 กันยายน และ 14–16 ตุลาคม .
ที่มา: will.com