TL博士:您现在可以运行 Kubernetes 来自谷歌。
谷歌今天 (08.09.2020/XNUMX/XNUMX, 约译者)在活动中 宣布扩大其产品线并推出新服务。
机密 GKE 节点为 Kubernetes 上运行的工作负载增加了更多隐私。 XNUMX月,第一个产品推出,名为 ,如今这些虚拟机已经可供所有人公开使用。
机密计算是一种新产品,涉及在处理数据时以加密形式存储数据。 这是数据加密链中的最后一个环节,因为云服务提供商已经对数据进出进行了加密。 直到最近,在处理数据时还需要对其进行解密,许多专家认为这是数据加密领域的一个明显漏洞。
Google 的机密计算计划基于与机密计算联盟的合作,该联盟是一个推广可信执行环境 (TEE) 概念的行业组织。 TEE 是处理器的安全部分,其中加载的数据和代码是加密的,这意味着同一处理器的其他部分无法访问此信息。
Google 的机密虚拟机在 AMD 第二代 EPYC 处理器上运行的 N2D 虚拟机上运行,该处理器使用安全加密虚拟化技术将虚拟机与其运行的虚拟机管理程序隔离。 可以保证数据保持加密状态,无论其用途如何:工作负载、分析、人工智能训练模型的请求。 这些虚拟机旨在满足银行业等受监管领域处理敏感数据的任何公司的需求。
也许更紧迫的是即将推出机密 GKE 节点 Beta 测试的公告,谷歌表示将在即将发布的 1.18 版本中引入该测试 (GKE)。 GKE 是一个托管的生产就绪环境,用于运行容器,这些容器托管可跨多个计算环境运行的部分现代应用程序。 Kubernetes 是一个开源编排工具,用于管理这些容器。
添加机密 GKE 节点可在运行 GKE 集群时提供更大的隐私性。 当向机密计算系列添加新产品时,我们希望提供新水平的
容器化工作负载的隐私性和可移植性。 Google 的机密 GKE 节点采用与机密 VM 相同的技术构建,允许您使用由 AMD EPYC 处理器生成和管理的节点特定加密密钥来加密内存中的数据。 这些节点将使用基于 AMD SEV 功能的基于硬件的 RAM 加密,这意味着在这些节点上运行的工作负载将在运行时进行加密。
Sunil Potti 和 Eyal Manor,Google 云工程师
在机密 GKE 节点上,客户可以配置 GKE 集群,以便节点池在机密虚拟机上运行。 简而言之,在处理数据时,在这些节点上运行的任何工作负载都将被加密。
许多企业在使用公共云服务时比在本地运行的本地工作负载时需要更多的隐私,以防止攻击者。 Google Cloud 对其机密计算产品线的扩展提高了这一标准,为用户提供了为 GKE 集群提供保密性的能力。 鉴于其受欢迎程度,Kubernetes 是该行业向前迈出的关键一步,为公司提供了更多选择,可以在公共云中安全地托管下一代应用程序。
霍尔格·穆勒 (Holger Mueller),星座研究公司分析师。
注: 我公司将于28月30-XNUMX日推出更新强化课程 适合那些还不了解 Kubernetes,但想要熟悉它并开始工作的人。 在 14 月 16 日至 XNUMX 日的活动结束后,我们将推出更新版 对于经验丰富的 Kubernetes 用户来说,了解使用最新版本的 Kubernetes 和可能的“rake”的所有最新实用解决方案非常重要。 在 我们将从理论上和实践中分析安装和配置生产就绪集群(“不那么简单的方法”)的复杂性,以及确保应用程序安全性和容错性的机制。
谷歌表示,除其他事项外,其机密虚拟机从今天开始普遍可用,将获得一些新功能。 例如,审计报告包含用于为每个机密虚拟机实例生成密钥的 AMD 安全处理器固件完整性检查的详细日志。
还有更多用于设置特定访问权限的控件,谷歌还添加了禁用给定项目上任何未分类虚拟机的功能。 Google 还将机密虚拟机与其他隐私机制连接起来以提供安全性。
您可以将共享 VPC 与防火墙规则和组织策略限制结合使用,以确保机密 VM 可以与其他机密 VM 进行通信,即使它们在不同的项目上运行也是如此。 此外,您可以使用 VPC Service Controls 为机密虚拟机设置 GCP 资源范围。
苏尼尔·波蒂和埃亚尔庄园
来源: habr.com