Google kompaniyasida biz bulutli hisoblashning kelajagi tobora ko'proq foydalanuvchilarga o'z ma'lumotlarining maxfiyligiga to'liq ishonch beradigan shaxsiy, shifrlangan xizmatlarga o'tishiga ishonamiz.
Google Cloud allaqachon tranzit va dam olish vaqtida mijozlar ma'lumotlarini shifrlaydi, ammo ularni qayta ishlash uchun hali ham shifrlash kerak. Maxfiy hisoblash qayta ishlash jarayonida ma'lumotlarni shifrlash uchun ishlatiladigan inqilobiy texnologiya. Maxfiy hisoblash muhitlari shifrlangan ma'lumotlarni operativ xotirada va protsessordan (CPU) tashqari boshqa joylarda saqlash imkonini beradi.
Maxfiy VMlar hozirda beta-sinovda va Google Cloud Confidential Computing liniyasidagi birinchi mahsulotdir. Ko'p ijarachili arxitektura xavfsizligini ta'minlash uchun biz allaqachon bulutli infratuzilmamizda turli xil izolyatsiya va qum zonasi usullaridan foydalanamiz. Maxfiy VMlar bulutdagi ish yuklarini yanada izolyatsiya qilish uchun xotirada shifrlashni taklif qilish orqali xavfsizlikni keyingi bosqichga olib chiqadi va bu mijozlarimizga nozik maʼlumotlarni himoya qilishga yordam beradi. O'ylaymizki, bu tartibga solinadigan sohalarda ishlaydiganlar uchun ayniqsa qiziqish uyg'otadi (ehtimol GDPR va boshqa tegishli narsalar haqida, taxminan. tarjimon).
Yangi imkoniyatlarni ochish
Maxfiy hisoblash uchun ochiq manba platformasi Asylo bilan allaqachon biz maxfiy hisoblash muhitlarini joylashtirish va ulardan foydalanishni osonlashtirishga, bulutda ishlashni tanlagan har qanday ish yuki uchun yuqori unumdorlik va ilovalarni taklif qilishga e'tibor qaratganmiz. Ishonchlilik, moslashuvchanlik, unumdorlik va xavfsizlik borasida murosaga kelishingiz shart emasligiga ishonamiz.
Maxfiy VM’lar beta-versiyaga kirgan holda, biz xavfsizlik va izolyatsiyaning bunday darajasini taklif qilgan birinchi yirik bulut provayderimiz bo‘ldik va mijozlarga yangi ilovalar uchun ham, “ko‘chirilgan” ilovalar uchun ham oddiy, ishlatish uchun qulay variantni taqdim etamiz (ehtimol, bulutda sezilarli o'zgarishlarsiz ishlashi mumkin, taxminan. tarjimon). Biz taqdim etamiz:
-
Muvofiq bo'lmagan maxfiylik: mijozlar bulutdagi maxfiy ma'lumotlarining maxfiyligini hatto ular qayta ishlanayotganda ham himoya qilishlari mumkin. Maxfiy VMlar ikkinchi avlod AMD EPYC protsessorlarining Secure Encrypted Virtualization (SEV) xususiyatidan foydalanadi. Sizning ma'lumotlaringiz foydalanish, indekslash, so'rovlar va o'qitish jarayonida shifrlangan bo'lib qoladi. Shifrlash kalitlari apparatda har bir virtual mashina uchun alohida yaratiladi va hech qachon uskunani tark etmaydi.
-
Yaxshilangan innovatsiyalar: Maxfiy hisoblash ilgari mumkin bo'lmagan ishlov berish stsenariylarini ochishi mumkin. Endi kompaniyalar maxfiy maʼlumotlar toʻplamini baham koʻrishlari va maxfiylikni saqlagan holda bulutdagi tadqiqotlarda hamkorlik qilishlari mumkin.
-
Portlangan ish yuklari uchun maxfiylik: Bizning maqsadimiz maxfiy hisoblashni soddalashtirishdir. Maxfiy VM-larga o'tish muammosiz - virtual mashinalarda ishlaydigan GCP-dagi barcha ish yuklari Maxfiy VM-larga o'tishi mumkin. Bu oddiy - faqat bitta katakchani belgilang.
-
Kengaytirilgan tahdidlardan himoyalanish: Maxfiy hisoblash himoyalangan VM-larni rootkit va yuklash kitlaridan himoya qilishga asoslanadi, bu esa Maxfiy VMda ishlash uchun tanlangan operatsion tizimning yaxlitligini ta'minlashga yordam beradi.
Maxfiy VMlar asoslari
Maxfiy VMlar ikkinchi avlod AMD EPYC protsessorlarida ishlaydigan N2D virtual mashinalarida ishlaydi. AMD ning SEV xususiyati virtual mashinaning operativ xotirasini EPYC protsessori tomonidan ishlab chiqarilgan va boshqariladigan har bir VM kaliti bilan shifrlangan holda saqlab, eng talabchan hisoblash ish yuklarida yuqori unumdorlikni ta'minlaydi. Kalitlar AMD Secure Processor protsessorlari tomonidan virtual mashina yaratilganda yaratiladi va faqat uning ichida joylashgan bo'lib, bu ularni Google va bir xil tugunda ishlaydigan boshqa virtual mashinalar uchun ishlatib bo'lmaydi.
Oʻrnatilgan RAM shifrlashdan tashqari, biz oʻzgartirishga chidamli operatsion tizim tasvirlari, proshivka yaxlitligini tekshirish, yadro ikkilik fayllari va drayverlarni taqdim etish uchun Himoyalangan VMlar ustiga Maxfiy VM larni quramiz. Google tomonidan taqdim etilgan rasmlarga Ubuntu 18.04, Ubuntu 20.04, Konteyner uchun optimallashtirilgan OS (COS v81) va RHEL 8.2 kiradi. Biz boshqa operatsion tizim tasvirlarini taklif qilish uchun Centos, Debian va boshqalar ustida ishlayapmiz.
Virtual mashina xotirasini shifrlash unumdorlikka ta'sir qilmasligini ta'minlash uchun biz AMD Cloud Solution muhandislik jamoasi bilan ham yaqindan hamkorlik qilamiz. Biz saqlash soʻrovlarini va tarmoq trafigini eski protokollarga qaraganda yuqori oʻtkazuvchanlikda boshqarish uchun yangi OSS drayverlarini (nvme va gvnic) qoʻllab-quvvatladik. Bu Maxfiy VMlarning ishlash ko'rsatkichlari oddiy virtual mashinalarnikiga yaqin ekanligini tekshirish imkonini berdi.
AMD EPYC protsessorlarining ikkinchi avlodiga o'rnatilgan Secure Encrypted Virtualization virtuallashtirilgan muhitda ma'lumotlarni himoya qilishga yordam beradigan innovatsion apparat xavfsizligi xususiyatini ta'minlaydi. Yangi GCE Confidential VMs N2D ni qo‘llab-quvvatlash uchun biz mijozlarga o‘z ma’lumotlarini himoya qilish va ish yuklarining ishlashini ta’minlashda yordam berish uchun Google bilan hamkorlik qildik. Maxfiy VMlar odatdagi N2D VMlar kabi ish yuklarida bir xil darajada yuqori unumdorlikni ta'minlayotganini ko'rishdan juda mamnunmiz.
Raghu Nambiar, AMD ma'lumotlar markazi ekotizimining vitse-prezidenti
O'yinni o'zgartirish texnologiyasi
Maxfiy hisoblash korxonalarning maxfiylik va xavfsizlikni saqlagan holda bulutdagi ma'lumotlarni qayta ishlash usulini o'zgartirishga yordam beradi. Bundan tashqari, boshqa imtiyozlar qatorida, kompaniyalar ma'lumotlar to'plamining maxfiyligini buzmasdan birgalikda ishlashlari mumkin bo'ladi. Bunday hamkorlik, o‘z navbatida, xavfsiz hamkorlik natijasida vaksinalarni tezda yaratish va kasalliklarni davolash kabi yanada transformativ texnologiyalar va g‘oyalarning rivojlanishiga olib kelishi mumkin.
Ushbu texnologiya kompaniyangiz uchun ochadigan imkoniyatlarni ko'rishni kuta olmaymiz. Qarang ko'proq bilish uchun.
PS Google dunyoni o‘zgartiruvchi texnologiyani birinchi marta emas, balki oxirgisi ham emas, deb umid qilaman. Kubernetes bilan yaqinda sodir bo'lganidek. Biz Goggle texnologiyalarini qo'ldan kelgancha qo'llab-quvvatlaymiz va tarqatamiz va Rossiyada IT-mutaxassislarini tayyorlaymiz. Bizning kompaniyamiz 3 tadan biridir Kubernetes sertifikatlangan xizmat ko'rsatuvchi provayder va yagona Kubernetes trening hamkori Rossiyada. Shuning uchun biz har bahor va kuzda Kubernetes intensiv mashg'ulotlarini o'tkazamiz. Keyingi intensiv kurslar 28-30 sentyabr kunlari bo'lib o'tadi va 14–16 oktyabr .
Manba: www.habr.com