Sa Google, naniniwala kami na ang hinaharap ng cloud computing ay lalong lilipat patungo sa pribado, naka-encrypt na mga serbisyo na nagbibigay sa mga user ng kumpletong kumpiyansa sa privacy ng kanilang data.
Ini-encrypt na ng Google Cloud ang data ng customer sa pagpapadala at sa pahinga, ngunit kailangan pa rin itong i-decrypt upang maproseso. Kumpidensyal na computing ay isang rebolusyonaryong teknolohiya na ginagamit upang i-encrypt ang data sa panahon ng pagproseso. Binibigyang-daan ka ng mga kumpidensyal na kapaligiran sa pag-compute na mag-imbak ng naka-encrypt na data sa RAM at iba pang mga lugar sa labas ng processor (CPU).
Ang mga Confidential VM ay kasalukuyang nasa beta testing at ito ang unang produkto sa linya ng Google Cloud Confidential Computing. Gumagamit na kami ng iba't ibang diskarte sa paghihiwalay at sandboxing sa aming imprastraktura sa cloud para matiyak ang seguridad ng isang multi-tenant na arkitektura. Dinadala ng mga kumpidensyal na VM ang seguridad sa susunod na antas sa pamamagitan ng pag-aalok ng in-memory encryption upang higit pang ihiwalay ang kanilang mga workload sa cloud, na tumutulong sa aming mga customer na protektahan ang sensitibong data. Sa tingin namin ito ay magiging partikular na interes sa mga nagtatrabaho sa mga regulated na industriya (marahil tungkol sa GDPR at iba pang nauugnay na mga bagay, tinatayang tagasalin).
Pagbubukas ng mga bagong posibilidad
Nasa Asylo na, ang open source na platform para sa kumpidensyal na computing, nakatuon kami sa paggawa ng mga kumpidensyal na kapaligiran ng computing na madaling i-deploy at gamitin, na nag-aalok ng mataas na pagganap at aplikasyon para sa anumang workload na pipiliin mong patakbuhin sa cloud. Naniniwala kami na hindi mo kailangang ikompromiso ang kakayahang magamit, flexibility, performance at seguridad.
Sa pagpasok ng mga Confidential VM sa beta, kami ang unang pangunahing cloud provider na nag-aalok ng ganitong antas ng seguridad at paghihiwalay—at nagbibigay sa mga customer ng simple, madaling gamitin na opsyon para sa parehong mga bagong application at mga "na-port" (marahil ay tungkol sa mga application na maaaring patakbuhin sa cloud nang walang makabuluhang pagbabago, tinatayang tagasalin). Nagbibigay kami ng:
-
Walang kaparis na privacy: Maaaring protektahan ng mga customer ang privacy ng kanilang sensitibong data sa cloud, kahit na ito ay pinoproseso. Ginagamit ng mga kumpidensyal na VM ang tampok na Secure Encrypted Virtualization (SEV) ng pangalawang henerasyong mga processor ng AMD EPYC. Nananatiling naka-encrypt ang iyong data sa panahon ng paggamit, pag-index, pagtatanong, at pagsasanay. Ang mga encryption key ay ginawa sa hardware nang hiwalay para sa bawat virtual machine at hindi kailanman iiwan ang hardware.
-
Pinahusay na Innovation: Ang kumpidensyal na pag-compute ay maaaring magbukas ng mga senaryo sa pagproseso na dati ay hindi posible. Ang mga kumpanya ay maaari na ngayong magbahagi ng mga classified data set at makipagtulungan sa pananaliksik sa cloud habang pinapanatili ang lihim.
-
Privacy para sa Ported Workloads: Ang aming layunin ay pasimplehin ang kumpidensyal na pag-compute. Ang paglipat sa Mga Kumpidensyal na VM ay seamless - lahat ng workload sa GCP na tumatakbo sa mga virtual machine ay maaaring lumipat sa Mga Kumpidensyal na VM. Simple lang - lagyan lang ng check ang isang kahon.
-
Advanced na Proteksyon sa Banta: Ang kumpidensyal na computing ay bubuo sa proteksyon ng mga Shielded VM laban sa mga rootkit at bootkit, na tumutulong upang matiyak ang integridad ng operating system na piniling tumakbo sa Confidential VM.
Mga Pangunahing Kaalaman sa Mga Kumpidensyal na VM
Ang mga kumpidensyal na VM ay tumatakbo sa mga N2D virtual machine na tumatakbo sa mga pangalawang henerasyong AMD EPYC processor. Ang tampok na SEV ng AMD ay naghahatid ng mataas na pagganap sa karamihan sa mga hinihinging compute workload habang pinapanatili ang virtual machine na RAM na naka-encrypt gamit ang per-VM key na nabuo at pinamamahalaan ng EPYC processor. Ang mga susi ay nilikha ng AMD Secure Processor coprocessor kapag ang virtual machine ay nilikha at eksklusibong matatagpuan dito, na ginagawang hindi naa-access ang mga ito sa parehong Google at iba pang virtual machine na tumatakbo sa parehong node.
Bilang karagdagan sa built-in na hardware RAM encryption, bumubuo kami ng mga Kumpidensyal na VM sa ibabaw ng Mga Shielded VM upang magbigay ng mga larawan ng operating system na lumalaban sa tamper, mga pagsusuri sa integridad ng firmware, kernel binary, at mga driver. Kasama sa mga larawang inaalok ng Google ang Ubuntu 18.04, Ubuntu 20.04, Container Optimized OS (COS v81) at RHEL 8.2. Kami ay nagtatrabaho sa Centos, Debian at iba pa upang mag-alok ng iba pang mga imahe ng operating system.
Mahigpit din kaming nakikipagtulungan sa AMD Cloud Solution engineering team upang matiyak na ang virtual machine memory encryption ay hindi makakaapekto sa performance. Nagdagdag kami ng suporta para sa mga bagong driver ng OSS (nvme at gvnic) para pangasiwaan ang mga kahilingan sa storage at trapiko sa network sa mas mataas na throughput kaysa sa mga mas lumang protocol. Ginawa nitong posible na i-verify na ang mga tagapagpahiwatig ng pagganap ng mga Kumpidensyal na VM ay malapit sa mga karaniwang virtual machine.
Ang Secure Encrypted Virtualization, na binuo sa ikalawang henerasyon ng mga AMD EPYC processor, ay nagbibigay ng isang makabagong tampok sa seguridad ng hardware na tumutulong na protektahan ang data sa isang virtualized na kapaligiran. Para suportahan ang bagong GCE Confidential VMs N2D, nakipagtulungan kami sa Google para tulungan ang mga customer na protektahan ang kanilang data at tiyakin ang performance ng kanilang mga workload. Lubos kaming nalulugod na makita na ang mga Kumpidensyal na VM ay naghahatid ng parehong antas ng mataas na performance sa mga workload gaya ng mga karaniwang N2D VM.
Raghu Nambiar, Bise Presidente, Data Center Ecosystem, AMD
Pagbabago ng Teknolohiya ng Laro
Makakatulong ang kumpidensyal na computing na baguhin ang paraan ng pagpoproseso ng mga negosyo ng data sa cloud habang pinapanatili ang privacy at seguridad. Gayundin, bukod sa iba pang mga benepisyo, ang mga kumpanya ay magagawang magtulungan nang hindi nakompromiso ang lihim ng mga set ng data. Ang ganitong pakikipagtulungan, sa turn, ay maaaring humantong sa pagbuo ng higit pang mga pagbabagong teknolohiya at ideya, tulad ng kakayahang mabilis na lumikha ng mga bakuna at gamutin ang mga sakit bilang resulta ng naturang ligtas na pakikipagtulungan.
Hindi na kami makapaghintay na makita ang mga pagkakataong binubuksan ng teknolohiyang ito para sa iyong kumpanya. Tingnan mo upang malaman ang higit pa.
PS Hindi sa unang pagkakataon, at sana hindi ang huli, inilunsad ng Google ang isang teknolohiyang nagbabago sa mundo. Tulad ng nangyari sa Kubernetes kamakailan lamang. Sinusuportahan at ipinamahagi namin ang mga teknolohiya ng Goggle sa abot ng aming makakaya at sinasanay namin ang mga espesyalista sa IT sa Russia. Ang aming kumpanya ay isa sa 3 Kubernetes Certified Service Provider at ang nag-iisa Kasosyo sa Pagsasanay ng Kubernetes sa Russia. Iyon ang dahilan kung bakit nagsasagawa kami ng masinsinang mga sesyon ng pagsasanay sa Kubernetes tuwing tagsibol at taglagas. Ang mga susunod na masinsinang kurso ay gaganapin sa Setyembre 28-30 at Oktubre 14–16 .
Pinagmulan: www.habr.com