ProHoster > 博客 > 管理 > 谷歌為谷歌云機密計算引入了機密虛擬機

谷歌為谷歌云機密計算引入了機密虛擬機

谷歌為谷歌云機密計算引入了機密虛擬機

在谷歌,我們相信雲端運算的未來將越來越多地轉向私有加密服務,讓用戶對其資料隱私充滿信心。

Google Cloud 已經對傳輸中和靜止的客戶資料進行了加密,但仍需要解密才能處理。 機密計算 — 一種用於在資料處理過程中加密資料的革命性技術。機密運算環境允許將加密資料儲存在 RAM 和處理器(CPU)外部的其他位置。

機密虛擬機器目前處於 Beta 測試階段,是 Google Cloud 機密運算系列的首款產品。我們已經在雲端基礎架構中使用各種隔離和沙盒技術來確保多租戶架構的安全。機密虛擬機器透過提供記憶體加密來進一步隔離雲端中的工作負載,從而將安全性提升到一個新的水平,幫助我們的客戶保護敏感資料。我們認為對於那些在受監管行業工作的人來說,這將特別有趣(可能是 GDPR 和其他相關事物, 約譯員).

谷歌為谷歌云機密計算引入了機密虛擬機

開闢新的可能性

借助機密運算的開源平台 Asylo,我們致力於使機密運算環境易於部署和使用,為您選擇在雲端中運行的任何工作負載提供高效能和採用率。我們相信您不應該在可用性、靈活性、效能和安全性方面做出妥協。

現在機密虛擬機已進入測試階段,我們是第一家提供這種級別的安全性和隔離性的大型雲端供應商,為客戶提供了適用於新應用程式和「移植」應用程式(我猜是可以在雲端運行而無需進行重大更改的應用程式)的簡單、易於使用的選項。 約譯員)。我們提供:

  • 無與倫比的隱私:即使在處理敏感資料時,客戶也可以保護雲端中敏感資料的隱私。機密虛擬機器利用第二代 AMD EPYC 處理器的安全加密虛擬化 (SEV) 功能。您的資料在使用、索引、查詢和訓練過程中保持加密狀態。加密金鑰是在硬體上為每個虛擬機器單獨建立的,並且永遠不會離開硬體。

  • 改進的創新:機密運算可以開啟以前不可能實現的處理場景。公司現在可以共享敏感資料集並在雲端合作研究,同時保持保密。

  • 移植工作負載的機密性:我們的目標是讓機密運算變得更容易。遷移到機密虛擬機器是無縫的 - 在虛擬機器中運行的 GCP 中的所有工作負載都可以遷移到機密虛擬機器。很簡單——只需勾選一個方塊即可。

  • 進階威脅防護:機密運算建立在屏蔽虛擬機器對 rootkit 和 bootkit 的保護之上,有助於確保在機密虛擬機器中執行的作業系統的完整性。

谷歌為谷歌云機密計算引入了機密虛擬機

機密虛擬機器基礎知識

機密虛擬機器在第二代 AMD EPYC 處理器上運行的 N2D 虛擬機器上運作。 AMD SEV 功能可為最嚴苛的運算工作負載提供高效能,同時使用由 EPYC 處理器產生和管理的每個虛擬機器金鑰對虛擬機器 RAM 進行加密。這些金鑰由 AMD 安全處理器在建立虛擬機器時生成,並專門駐留在虛擬機器內,因此 Google 和在同一節點上運行的其他虛擬機器都無法存取它們。

除了內建的基於硬體的 RAM 加密之外,我們還在受保護虛擬機之上構建機密虛擬機,以確保作業系統鏡像的防篡改能力,並對韌體、內核二進位和驅動程式進行完整性驗證。谷歌提供的鏡像包括 Ubuntu 18.04, Ubuntu 20.04、容器優化作業系統 (COS v81) 和 RHEL 8.2。我們正在努力。 Centos, Debian 其他廠商則提供其他作業系統鏡像。

我們也與 AMD 雲端解決方案工程團隊密切合作,以確保虛擬機器記憶體加密不會影響效能。我們增加了對新 OSS 驅動程式(nvme 和 gvnic)的支持,以便以比舊協定更高的吞吐量處理儲存請求和網路流量。這使得我們能夠驗證機密虛擬機器的效能指標是否接近常規虛擬機器的效能指標。

谷歌為谷歌云機密計算引入了機密虛擬機

安全加密虛擬化內建於第二代 AMD EPYC 處理器,提供基於硬體的創新安全功能,有助於保護虛擬化環境中的資料。為了支援新的 GCE 機密 VMs N2D,我們與 Google 合作,幫助客戶保護他們的資料並確保他們的工作負載的效能。我們非常高興地看到機密虛擬機器在各種工作負載中表現出與典型的 N2D 虛擬機器相同的高效能。

AMD 資料中心生態系統副總裁 Raghu Nambiar

改變遊戲規則的技術

機密運算可以幫助改變企業在雲端處理資料的方式,同時保持隱私和安全。此外,除了其他好處之外,各公司將能夠在不損害資料集機密性的情況下進行合作。反過來,這種合作可能會促進更具變革性的技術和理念的發展,例如,想像一下,透過這種安全的合作,可以快速發展出疫苗和疾病治療方法。

我們迫不及待想看到這項技術能為您的公司帶來哪些可能性。看 這裡了解更多。

聚苯乙烯 這不是Google第一次推出改變世界的技術,希望也不是最後一次。就像最近 Kubernetes 的情況一樣。我們盡最大努力支援和傳播 Google 技術—我們在俄羅斯培訓 IT 專家。我們公司是 3 家 Kubernetes認證服務提供者 並且唯一一個 Kubernetes培訓合作夥伴 在俄羅斯。這就是我們每年春季和秋季舉辦密集的 Kubernetes 培訓課程的原因。下一期密集課程將於 28 月 30 日至 XNUMX 日舉行 Kubernetes 基地 以及14月16日至XNUMX日 Kubernetes Mega.

來源: www.habr.com

為具有 DDoS 保護、VPS VDS 服務器的站點購買可靠的主機 🔥 購買具備 DDoS 防護的可靠網站寄存服務,包括 VPS 和 VDS 伺服器 | ProHoster