主持人 > 博客 > 管理 > 谷歌為谷歌云機密計算引入了機密虛擬機

谷歌為谷歌云機密計算引入了機密虛擬機

谷歌為谷歌云機密計算引入了機密虛擬機

在谷歌,我們相信雲端運算的未來將越來越多地轉向私有的加密服務,讓用戶對其資料的隱私充滿信心。

Google Cloud 已經對傳輸中和靜態的客戶資料進行了加密,但仍需要解密才能處理。 機密計算 是一種革命性的技術,用於在處理過程中加密資料。 機密運算環境可讓您將加密資料儲存在 RAM 和處理器 (CPU) 之外的其他位置。

機密虛擬機器目前正在進行 Beta 測試,是 Google Cloud 機密運算系列中的第一個產品。 我們已經在雲端基礎架構中使用了各種隔離和沙箱技術來確保多租戶架構的安全性。 機密虛擬機器透過提供記憶體加密來進一步隔離雲端中的工作負載,從而幫助我們的客戶保護敏感數據,從而將安全性提升到一個新的水平。 我們認為這對那些在受監管行業工作的人來說會特別感興趣(也許與 GDPR 和其他相關事物有關, 約譯員).

谷歌為谷歌云機密計算引入了機密虛擬機

開闢新的可能性

透過用於機密運算的開源平台 Asylo,我們專注於使機密運算環境易於部署和使用,為您選擇在雲端中運行的任何工作負載提供高效能和應用程式。 我們相信您不必在可用性、靈活性、效能和安全性方面做出妥協。

隨著機密虛擬機進入測試版,我們成為第一家提供這種級別的安全性和隔離性的主要雲提供商,並為客戶提供一個簡單、易於使用的選項,既適用於新應用程序,也適用於「移植」應用程式(可能涉及以下應用程式)可以在雲端中運行而無需進行重大更改, 約譯員)。 我們提供:

  • 無與倫比的隱私:即使在處理資料時,客戶也可以保護雲端中敏感資料的隱私。 機密虛擬機器利用第二代 AMD EPYC 處理器的安全加密虛擬化 (SEV) 功能。 您的資料在使用、索引、查詢和訓練過程中保持加密狀態。 加密金鑰是在硬體中為每個虛擬機器單獨建立的,並且永遠不會離開硬體。

  • 改進的創新:機密運算可以開啟以前不可能的處理場景。 公司現在可以共享機密資料集並在雲端中協作進行研究,同時保持保密。

  • 移植工作負載的隱私:我們的目標是簡化機密計算。 到機密虛擬機器的過渡是無縫的 - 在虛擬機器中運行的 GCP 中的所有工作負載都可以遷移到機密虛擬機器。 很簡單 - 只需選中一個框即可。

  • 進階威脅防護:機密運算建立在保護受防護虛擬機器免受 Rootkit 和 Bootkit 攻擊的基礎上,有助於確保選擇在機密虛擬機器中運行的作業系統的完整性。

谷歌為谷歌云機密計算引入了機密虛擬機

機密虛擬機器的基礎知識

機密 VM 在第二代 AMD EPYC 處理器上執行的 N2D 虛擬機器上運作。 AMD 的 SEV 功能可為最嚴苛的運算工作負載提供高效能,同時使用 EPYC 處理器產生和管理的每個虛擬機器金鑰對虛擬機器 RAM 進行加密。 這些金鑰是在建立虛擬機器時由 AMD 安全處理器協處理器建立的,並且僅位於虛擬機器中,這使得 Google 和同一節點上運行的其他虛擬機器都無法存取它們。

除了內建硬體 RAM 加密之外,我們還在屏蔽虛擬機之上建立機密虛擬機,為作業系統映像提供防篡改功能,驗證韌體、核心二進位和驅動程式的完整性。 Google 提供的映像包含 Ubuntu 18.04、Ubuntu 20.04、Container Optimized OS (COS v81) 和 RHEL 8.2。 我們正在 Centos、Debian 和其他作業系統上提供其他作業系統映像。

我們也與 AMD 雲端解決方案工程團隊密切合作,確保虛擬機器記憶體加密不會影響效能。 我們新增了對新 OSS 驅動程式(nvme 和 gvnic)的支持,以便以比舊協定更高的吞吐量處理儲存請求和網路流量。 這使得可以驗證機密虛擬機器的效能指標是否接近常規虛擬機器的效能指標。

谷歌為谷歌云機密計算引入了機密虛擬機

安全加密虛擬化內建於第二代 AMD EPYC 處理器中,提供創新的硬體安全功能,有助於保護虛擬化環境中的資料。 為了支援新的 GCE 機密虛擬機器 N2D,我們與 Google 合作,協助客戶保護其資料並確保其工作負載的效能。 我們非常高興地看到機密虛擬機器在跨工作負載上提供與典型 N2D 虛擬機器相同等級的高效能。

Raghu Nambiar,AMD 資料中心生態系統副總裁

改變遊戲規則的技術

機密運算可以幫助改變企業在雲端處理資料的方式,同時保持隱私和安全。 此外,除了其他好處之外,公司將能夠在不損害資料集保密性的情況下進行合作。 反過來,這種合作可以帶來更具變革性的技術和想法的發展,例如由於這種安全的合作而能夠快速生產疫苗和治療疾病。

我們迫不及待地想看到這項技術為您的公司帶來的機會。 看 這裡了解更多。

聚苯乙烯 谷歌推出一項改變世界的技術,這不是第一次,也希望不是最後一次。 正如最近 Kubernetes 發生的那樣。 我們盡最大努力支援和分發 Goggle 技術,並在俄羅斯培訓 IT 專家。 我們公司是 3 家之一 Kubernetes 認證服務供應商 並且是唯一的一個 Kubernetes 培訓合作夥伴 在俄國。 這就是為什麼我們每年春季和秋季都會舉辦密集的 Kubernetes 培訓課程。 下一次密集課程將於28月30-XNUMX日舉行 Kubernetes 基地 及 14 月 16 日至 XNUMX 日 Kubernetes Mega.

來源: www.habr.com

添加評論