TL, д-р: Тепер можна запустити Kubernetes на від Google.
Компанія Google сьогодні (08.09.2020, прим. перекладача) на заході повідомила про розширення лінійки своїх продуктів запуск нового сервісу.
Вузли Confidential GKE додають більше секретності навантаженням, запущеним у Kubernetes. У липні було запущено перший продукт під назвою А сьогодні ці віртуальні машини вже загальнодоступні всім.
Confidential Computing - новинка, що передбачає зберігання даних у шифрованому вигляді під час їх обробки. Це остання ланка в ланцюзі шифрування даних, оскільки постачальники хмарних послуг вже шифрують дані на вході та на виході. Донедавна потрібно було розшифровувати дані при їх обробці, і багато фахівців бачать у цьому явну дірку в області шифрування даних.
Ініціатива Confidential Computing від Google заснована на співпраці з консорціумом Confidential Computing, галузевою групою для просування концепції «надійних оточень виконання» (Trusted Execution Environments, TEEs). TEE - захищена частина процесора, в якій завантажені дані та код - зашифровані, що означає неможливість отримання доступу до цієї інформації іншими частинами цього процесора.
Confidential VMs від Google працюють на віртуальних машинах N2D, запущених на процесорах другого покоління EPYC компанії AMD, які використовують технологію Secure Encrypted Virtualization, що дозволяє ізолювати віртуальні машини від гіпервізора, на якому вони працюють. Є гарантія того, що дані залишаються зашифрованими, незалежно від їх використання: робочі навантаження, аналітика, запити на тренування моделей для штучного інтелекту. Ці віртуальні машини розроблені для задоволення потреб будь-якої компанії, що працює із секретними даними в регульованих областях, наприклад, у банківській галузі.
Можливо насущнішим є анонс про майбутнє beta-тестування вузлів Confidential GKE, які, за словами Google, будуть представлені в майбутньому випуску 1.18 (GKE). GKE - кероване, готове до впровадження на виробництві оточення для запуску контейнерів, в яких розміщуються частини сучасних додатків, які можна запускати в кількох обчислювальних оточеннях. Kubernetes — інструмент оркестрування з відкритим вихідним кодом, який використовується для керування цими контейнерами.
Додавання вузлів Confidential GKE забезпечує велику секретність під час запуску кластерів GKE. При додаванні нового продукту до лінійки Confidential Computing ми хотіли забезпечити новий рівень
секретності та переносимості для контейнеризованих навантажень. Вузли Confidential GKE від Google побудовані на тій самій технології, що і Confidential VMs, дозволяють вам шифрувати дані в оперативній пам'яті за допомогою унікального для кожного вузла ключа шифрування, створюваного та керованого процесором AMD EPYC. Такі вузли будуть використовувати апаратне шифрування оперативної пам'яті на основі функції SEV від компанії AMD, що означає, що ваші робочі навантаження, що виконуються на таких вузлах, будуть зашифровані під час їх роботи.
Sunil Potti та Eyal Manor, інженери з хмарних технологій, Google
На вузлах Confidential GKE клієнти можуть настроїти кластери GKE так, що пули вузлів будуть запущені на віртуальних машинах Confidential VMs. Простіше кажучи, будь-які робочі навантаження, що виконуються на таких вузлах, будуть зашифровані під час обробки даних.
Багатьом підприємствам потрібно ще більше секретності при використанні публічних хмарних сервісів, ніж для локальних робочих навантажень, що запускаються на своїх потужностях, що необхідно для захисту від зловмисників. Google Cloud, розширюючи свою лінійку Confidential Computing, підвищує цю планку, надаючи користувачам можливість забезпечення секретності для кластерів GKE. А з урахуванням популярності Kubernetes – це ключовий крок уперед для галузі, що дає компаніям більше можливостей для безпечного розміщення додатків наступного покоління у публічній хмарі.
Holger Mueller, аналітик Constellation Research.
NB Наша компанія 28-30 вересня запускає оновлений інтенсив для тих, хто ще не знає Kubernetes, але хоче з ним познайомитись та почати працювати. А після цього заходу 14–16 жовтня ми запускаємо оновлений для досвідчених користувачів Kubernetes, яким важливо знати всі останні практичні рішення у роботі з Kubernetes останніх версій та можливі «граблі». на розберемо в теорії та на практиці тонкощі установки та конфігурації production-ready кластера («the-not-so-easy-way»), механізми забезпечення безпеки та відмовостійкості додатків.
Крім іншого, Google заявила, що її Confidential VMs отримають деякі нові можливості, оскільки вони стають загальнодоступними з цього дня. Наприклад, з'явилися звіти аудиту, що містять докладні журнали перевірки цілісності прошивки AMD Secure Processor, яка використовується для створення ключів для кожного екземпляра Confidential VMs.
Також з'явилося більше елементів керування для встановлення конкретних прав доступу, а також Google додала можливість відключення будь-якої несекретної віртуальної машини на заданому проекті. Також Google поєднує Confidential VMs з іншими механізмами забезпечення таємності для забезпечення безпеки.
Ви можете використовувати комбінацію загальних VPC з правилами firewall та обмеженнями політики обмеження для забезпечення впевненості в тому, що Confidential VMs можуть обмінюватися даними з іншими Confidential VMs, навіть якщо вони працюють у різних проектах. Крім цього ви можете використовувати VPC Service Controls для завдання області ресурсів GCP для ваших Confidential VMs.
Sunil Potti та Eyal Manor
Джерело: habr.com