TL博士:您現在可以執行 Kubernetes 來自Google。
谷歌今天 (08.09.2020/XNUMX/XNUMX, 約譯員)在活動中 宣布擴大其產品線並推出新服務。
機密 GKE 節點為 Kubernetes 上運行的工作負載增加了更多隱私。 XNUMX月,第一個產品推出,名為 ,如今這些虛擬機器已經可供所有人公開使用。
機密運算是一種新產品,涉及在處理資料時以加密形式儲存資料。 這是資料加密鏈中的最後一個環節,因為雲端服務供應商已經對資料進出進行了加密。 直到最近,在處理資料時還需要對其進行解密,許多專家認為這是資料加密領域的明顯漏洞。
Google 的機密運算計畫是基於與機密運算聯盟的合作,該聯盟是一個推廣可信任執行環境 (TEE) 概念的行業組織。 TEE 是處理器的安全部分,其中載入的資料和代碼是加密的,這意味著同一處理器的其他部分無法存取此資訊。
Google 的機密虛擬機器在 AMD 第二代 EPYC 處理器上運行的 N2D 虛擬機器上運行,該處理器使用安全加密虛擬化技術將虛擬機器與其運行的虛擬機器管理程式隔離。 無論其用途為何:工作負載、分析、人工智慧訓練模型的請求,都可以確保資料保持加密狀態。 這些虛擬機器旨在滿足銀行業等受監管領域處理敏感資料的任何公司的需求。
也許更迫切的是即將推出機密 GKE 節點 Beta 測試的公告,Google表示將在即將發布的 1.18 版本中引入該測試 (GKE)。 GKE 是一個託管的生產就緒環境,用於運行容器,這些容器託管可跨多個運算環境運行的部分現代應用程式。 Kubernetes 是一個開源編排工具,用於管理這些容器。
新增機密 GKE 節點可在執行 GKE 叢集時提供更大的隱私性。 當機密運算系列新增產品時,我們希望提供新等級的
容器化工作負載的隱私性和可移植性。 Google 的機密 GKE 節點採用與機密 VM 相同的技術構建,可讓您使用由 AMD EPYC 處理器產生和管理的節點特定加密金鑰來加密記憶體中的資料。 這些節點將使用基於 AMD SEV 功能的基於硬體的 RAM 加密,這意味著在這些節點上運行的工作負載將在運行時進行加密。
Sunil Potti 與 Eyal Manor,Google 雲端工程師
在機密 GKE 節點上,客戶可以配置 GKE 集群,以便節點池在機密虛擬機器上運作。 簡而言之,在處理資料時,在這些節點上運行的任何工作負載都將被加密。
許多企業在使用公有雲服務時比在本地運行的本地工作負載時需要更多的隱私,以防止攻擊者。 Google Cloud 對其機密運算產品線的擴展為用戶提供了為 GKE 叢集提供保密性的能力,從而提高了這項標準。 鑑於其受歡迎程度,Kubernetes 是該行業向前邁出的關鍵一步,為公司提供了更多選擇,可以在公有雲中安全地託管下一代應用程式。
霍爾格‧穆勒 (Holger Mueller),星座研究公司分析師。
注: 本公司將於28月30-XNUMX日推出更新密集課程 適合那些還不了解 Kubernetes,但想要熟悉它並開始工作的人。 在 14 月 16 日至 XNUMX 日的活動結束後,我們將推出更新版 對於經驗豐富的 Kubernetes 用戶來說,了解使用最新版本的 Kubernetes 和可能的「rake」的所有最新實用解決方案非常重要。 在 我們將從理論和實踐中分析安裝和配置生產就緒叢集(「不那麼簡單的方法」)的複雜性,以及確保應用程式安全性和容錯性的機制。
谷歌表示,除其他事項外,其機密虛擬機器從今天開始普遍可用,將獲得一些新功能。 例如,稽核報告包含用於為每個機密虛擬機器實例產生金鑰的 AMD 安全處理器韌體完整性檢查的詳細日誌。
還有更多用於設定特定訪問權限的控件,谷歌還添加了禁用給定項目上任何未分類虛擬機的功能。 Google 也將機密虛擬機器與其他隱私機制連接起來以提供安全性。
您可以將共用 VPC 與防火牆規則和組織策略限制結合使用,以確保機密 VM 可以與其他機密 VM 進行通信,即使它們在不同的專案上運行也是如此。 此外,您可以使用 VPC Service Controls 為機密虛擬機器設定 GCP 資源範圍。
蘇尼爾波蒂和埃亞爾莊園
來源: www.habr.com