Google將內(nèi)存加密擴(kuò)展到Kubernetes

【TechWeb】Google Cloud和AMD于今年夏季推出了“機(jī)密計(jì)算”計(jì)劃，該計(jì)劃在內(nèi)存和CPU以外的其他位置維護(hù)數(shù)據(jù)加密。該方案在AMD最新的EPYC處理器中利用了基于硬件的加密。

合作伙伴本周表示，他們正在擴(kuò)展機(jī)密云計(jì)算計(jì)劃，以涵蓋通過Google的Kubernetes Engine在Kubernetes集群上運(yùn)行的工作負(fù)載。這些GKE節(jié)點(diǎn)將在即將發(fā)布的Beta版本中提供。在周二（9月8日），Google還宣布了7月份發(fā)布的機(jī)密虛擬機(jī)的全面上市。

谷歌云還表示，它將把對機(jī)密計(jì)算的支持范圍從AMD擴(kuò)展到一系列數(shù)據(jù)中心處理器。在這兩種情況下，價(jià)值主張都是在處理數(shù)據(jù)時(shí)“使用中”加密數(shù)據(jù)的能力。

與機(jī)密VM一樣，機(jī)密Kubernetes節(jié)點(diǎn)也基于AMD最新的EPYC處理器，該處理器在其Zen 2 Core架構(gòu)中集成了基于硬件的加密。根據(jù)Google（NASDAQ：GOOGL）的說法，運(yùn)行受保護(hù)節(jié)點(diǎn)的群集會(huì)自動(dòng)強(qiáng)制使用機(jī)密VM。機(jī)密節(jié)點(diǎn)在EPYC處理器的“安全加密虛擬化”功能內(nèi)使用內(nèi)存加密。

合作伙伴說，運(yùn)行在Google Cloud中的機(jī)密VM可以增加到240個(gè)虛擬CPU和896 GB的內(nèi)存。AMD（納斯達(dá)克股票代碼：AMD）還推廣其最新的基于7納米制程技術(shù)的EPYC處理器，作為將應(yīng)用程序和數(shù)據(jù)遷移到云的平臺(tái)。

基于硬件的安全性方法使用“信任根”方法，其中加密密鑰用于保護(hù)功能。AMD表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。

該架構(gòu)使用虛擬密鑰對內(nèi)存進(jìn)行加密，然后安全處理器將密鑰映射到內(nèi)存中運(yùn)行的VM。系統(tǒng)管理程序無法訪問加密的內(nèi)存，“來賓”操作系統(tǒng)選擇可以共享的數(shù)據(jù)。

同時(shí)，谷歌云表示其機(jī)密節(jié)點(diǎn)將在其即將發(fā)布的Kubernetes引擎版本中以beta形式發(fā)布。

谷歌首席互聯(lián)網(wǎng)傳播者溫頓·瑟夫（Vinton Cerf）說：“我們相信云計(jì)算的未來將越來越多地轉(zhuǎn)向私有加密服務(wù)。”

Cerf補(bǔ)充說：“在處理數(shù)據(jù)時(shí)，沒有簡單的解決方案來對其進(jìn)行加密。”因此，促進(jìn)了機(jī)密計(jì)算計(jì)劃的發(fā)展，因?yàn)樗诳蛻艉蛿?shù)據(jù)中心之間“使用中”以及在靜態(tài)和靜態(tài)時(shí)加密數(shù)據(jù)。

現(xiàn)在，機(jī)密VM模型已應(yīng)用于基于容器的工作負(fù)載，可對內(nèi)存中以及CPU外部其他位置的數(shù)據(jù)進(jìn)行加密。Cerf解釋說：“內(nèi)存控制器使用Google不能訪問的嵌入式硬件密鑰在CPU邊界內(nèi)解密數(shù)據(jù)?！?/span>

隨著企業(yè)微服務(wù)開始興起，隔離應(yīng)用程序容器資源和依賴性是最初的挑戰(zhàn)。谷歌和AMD押注增加了一層數(shù)據(jù)處理安全性，將推動(dòng)云供應(yīng)商的私有加密云服務(wù)戰(zhàn)略。

內(nèi)存加密將進(jìn)一步隔離工作負(fù)載，同時(shí)還將租戶與云基礎(chǔ)架構(gòu)隔離?！拔覀兊哪繕?biāo)是確保功能與我們使用的硬件無關(guān)，”Cerf說。因此，Google與其他CPU供應(yīng)商合作，并將對機(jī)密計(jì)算的支持?jǐn)U展到GPU，Tensor處理單元和FPGA。

Google Cloud是Linux基金會(huì)于2019年10月成立的機(jī)密計(jì)算聯(lián)盟的創(chuàng)始成員之一。其他成員包括阿里巴巴，Arm，華為，英特爾，微軟和IBM的Red Hat部門。【TechWeb】