Google LLC今天在本周的Cloud Next OnAir活动中表示,将通过推出一项新服务来扩展其新的机密计算产品组合。
机密GKE节点为Kubernetes上运行的工作负载提供了更多的隐私。Google 于7月份推出了其机密计算产品组合中的第一个产品,称为 机密VM,并表示今天这些虚拟机现已普遍可用。
机密计算是一项新计划,涉及在处理数据时对数据进行加密。这是数据加密中的最后一个难题,因为云提供商已经对静态数据和传输中的数据进行了加密。但是直到最近,始终需要解密该信息才能对其进行处理,许多专家认为这是数据加密领域的一个明显漏洞。
Google的“机密计算”计划基于与机密计算联盟的合作,该组织正在努力推广“受信任的执行环境”的概念。TEE是计算机芯片的安全区域,可对其中装载的数据和代码进行加密,这意味着处理器的其他部分无法访问此信息。
Google的机密VM在由Advanced Micro Devices Inc.的第二代EPYC处理器驱动的N2D 系列虚拟机上运行,该处理器具有安全加密虚拟化技术,可以将虚拟机与运行它们的管理程序软件隔离开。它们确保无论数据是否用于分析工作负载,查询或训练人工智能模型,数据都保持加密状态。它们旨在帮助满足任何使用敏感数据的公司的需求,尤其是那些在诸如金融等受监管行业工作的公司的需求。
也许更重要的公告是机密GKE节点即将面市的 beta测试可用性,Google表示将在其即将推出的Google Kubernetes Engine 1.18版本中首次亮相。GKE是用于运行软件容器的托管的,可用于生产的环境,该环境承载可在多个计算环境中运行的现代应用程序的组件。Kubernetes是用于管理这些容器的开源编排工具。
Google Cloud工程师Sunil Potti和Eyal Manor在博客文章中宣布了新功能,在运行GKE群集时,增加了GKE机密节点可以提供更多的隐私。
他们写道:“在构建机密计算产品组合时,我们希望为容器化工作负载提供更高级别的机密性和可移植性。” “ Google Cloud机密GKE节点与机密VM建立在相同的技术基础上,并允许您使用由AMD EPYC处理器生成和管理的特定于节点的专用密钥在内存中对数据进行加密。”
使用机密GKE节点,客户将能够配置GKE群集,以便他们只能部署在机密VM上运行的节点池。换句话说,在处理数据时,将加密在这些节点上运行的所有工作负载。
“ GKE机密节点将使用由AMD EPYC处理器使用的AMD安全加密虚拟化功能提供支持的硬件内存加密,这意味着在机密节点上运行的工作负载将在使用中进行加密,” Potti和Manor说。
Constellation Research Inc.分析师Holger Mueller表示,为了保护自己免受不良行为的侵害,许多企业在使用公共云服务时要求比在内部工作负载更大的隐私。
Mueller说:“ Google Cloud通过扩展其机密计算产品组合来改善游戏,使用户可以选择对GKE群集进行机密处理。” “鉴于Kubernetes的普及,这似乎是该行业迈出的关键一步,并为企业提供了更多选择,以便在公共云中安全地生产下一代应用程序。”
同时,谷歌表示其机密虚拟机正在获得一些新功能,因为它们今天已经普遍可用。例如,有关机密VM的审核报告现在带有有关AMD安全处理器固件完整性的详细日志,该日志用于为每个实例生成密钥。
还有更多的策略控件来定义特定的访问权限,并且Google添加了禁用可能在特定项目中运行的所有非机密VM的功能。Google还将机密虚拟机与其他强制机制集成在一起,以提高安全性。
“您可以结合使用共享VPC,组织策略约束和防火墙规则,以确保机密VM仅可以与其他机密VM进行交互,即使这些VM驻留在不同的项目中也是如此,” Potti和Manor解释说。“此外,您可以使用VPC服务控件为机密VM定义GCP资源的范围。”