主持人 > 博客 > 管理 > 谷歌推出用于谷歌云机密计算的机密虚拟机

谷歌推出用于谷歌云机密计算的机密虚拟机

谷歌推出用于谷歌云机密计算的机密虚拟机

在谷歌,我们相信云计算的未来将越来越多地转向私有的加密服务,让用户对其数据的隐私充满信心。

Google Cloud 已经对传输中和静态的客户数据进行了加密,但仍需要解密才能进行处理。 机密计算 是一种革命性的技术,用于在处理过程中加密数据。 机密计算环境允许您将加密数据存储在 RAM 和处理器 (CPU) 之外的其他位置。

机密虚拟机目前正在进行 Beta 测试,是 Google Cloud 机密计算系列中的第一个产品。 我们已经在云基础设施中使用了各种隔离和沙箱技术来确保多租户架构的安全性。 机密虚拟机通过提供内存加密来进一步隔离云中的工作负载,从而帮助我们的客户保护敏感数据,从而将安全性提升到一个新的水平。 我们认为这对于那些在受监管行业工作的人来说会特别感兴趣(也许与 GDPR 和其他相关事物有关, 约译者).

谷歌推出用于谷歌云机密计算的机密虚拟机

开辟新的可能性

通过用于机密计算的开源平台 Asylo,我们专注于使机密计算环境易于部署和使用,为您选择在云中运行的任何工作负载提供高性能和应用程序。 我们相信您不必在可用性、灵活性、性能和安全性方面做出妥协。

随着机密虚拟机进入测试版,我们成为第一家提供这种级别的安全性和隔离性的主要云提供商,并为客户提供一个简单、易于使用的选项,既适用于新应用程序,也适用于“移植”应用程序(可能涉及以下应用程序)可以在云中运行而无需进行重大更改, 约译者)。 我们提供:

  • 无与伦比的隐私:即使在处理数据时,客户也可以保护云中敏感数据的隐私。 机密虚拟机利用第二代 AMD EPYC 处理器的安全加密虚拟化 (SEV) 功能。 您的数据在使用、索引、查询和训练过程中保持加密状态。 加密密钥是在硬件中为每个虚拟机单独创建的,并且永远不会离开硬件。

  • 改进的创新:机密计算可以开辟以前不可能的处理场景。 公司现在可以共享机密数据集并在云中协作进行研究,同时保持保密。

  • 移植工作负载的隐私:我们的目标是简化机密计算。 到机密虚拟机的过渡是无缝的 - 在虚拟机中运行的 GCP 中的所有工作负载都可以迁移到机密虚拟机。 很简单 - 只需选中一个框即可。

  • 高级威胁防护:机密计算建立在保护受防护虚拟机免受 Rootkit 和 Bootkit 攻击的基础上,有助于确保选择在机密虚拟机中运行的操作系统的完整性。

谷歌推出用于谷歌云机密计算的机密虚拟机

机密虚拟机的基础知识

机密 VM 在第二代 AMD EPYC 处理器上运行的 N2D 虚拟机上运行。 AMD 的 SEV 功能可为最苛刻的计算工作负载提供高性能,同时使用 EPYC 处理器生成和管理的每个虚拟机密钥对虚拟机 RAM 进行加密。 这些密钥是在创建虚拟机时由 AMD 安全处理器协处理器创建的,并且仅位于虚拟机中,这使得 Google 和同一节点上运行的其他虚拟机都无法访问它们。

除了内置硬件 RAM 加密之外,我们还在屏蔽虚拟机之上构建机密虚拟机,为操作系统映像提供防篡改功能,验证固件、内核二进制文件和驱动程序的完整性。 Google 提供的镜像包括 Ubuntu 18.04、Ubuntu 20.04、Container Optimized OS (COS v81) 和 RHEL 8.2。 我们正在 Centos、Debian 和其他操作系统上提供其他操作系统映像。

我们还与 AMD 云解决方案工程团队密切合作,确保虚拟机内存加密不会影响性能。 我们添加了对新 OSS 驱动程序(nvme 和 gvnic)的支持,以便以比旧协议更高的吞吐量处理存储请求和网络流量。 这使得可以验证机密虚拟机的性能指标是否接近常规虚拟机的性能指标。

谷歌推出用于谷歌云机密计算的机密虚拟机

安全加密虚拟化内置于第二代 AMD EPYC 处理器中,提供创新的硬件安全功能,有助于保护虚拟化环境中的数据。 为了支持新的 GCE 机密虚拟机 N2D,我们与 Google 合作,帮助客户保护其数据并确保其工作负载的性能。 我们非常高兴地看到机密虚拟机在跨工作负载上提供与典型 N2D 虚拟机相同水平的高性能。

Raghu Nambiar,AMD 数据中心生态系统副总裁

改变游戏规则的技术

机密计算可以帮助改变企业在云中处理数据的方式,同时保持隐私和安全。 此外,除了其他好处之外,公司将能够在不损害数据集保密性的情况下进行合作。 反过来,这种合作可以带来更具变革性的技术和想法的发展,例如由于这种安全的合作而能够快速生产疫苗和治疗疾病。

我们迫不及待地想看到这项技术为您的公司带来的机遇。 看 这里了解更多。

PS 谷歌推出一项改变世界的技术,这不是第一次,也希望不是最后一次。 正如最近 Kubernetes 所发生的那样。 我们尽最大努力支持和分发 Goggle 技术,并在俄罗斯培训 IT 专家。 我们公司是 3 家之一 Kubernetes 认证服务提供商 并且是唯一的一个 Kubernetes 培训合作伙伴 在俄国。 这就是为什么我们每年春季和秋季都会举办密集的 Kubernetes 培训课程。 下一次强化课程将于28月30-XNUMX日举行 Kubernetes 基地 以及 14 月 16 日至 XNUMX 日 Kubernetes Mega.

来源: habr.com

添加评论