Google將內(nèi)存加密擴(kuò)展到Kubernetes

發(fā)布時間：2024-07-08

google cloud和amd于今年夏季推出了“機(jī)密計算”計劃，該計劃在內(nèi)存和cpu以外的其他位置維護(hù)數(shù)據(jù)加密。該方案在amd最新的epyc處理器中利用了基于硬件的加密。
合作伙伴本周表示，他們正在擴(kuò)展機(jī)密云計算計劃，以涵蓋通過google的kubernetes engine在kubernetes集群上運行的工作負(fù)載。這些gke節(jié)點將在即將發(fā)布的beta版本中提供。在周二（9月8日），google還宣布了7月份發(fā)布的機(jī)密虛擬機(jī)的全面上市。
谷歌云還表示，它將把對機(jī)密計算的支持范圍從amd擴(kuò)展到一系列數(shù)據(jù)中心處理器。在這兩種情況下，價值主張都是在處理數(shù)據(jù)時“使用中”加密數(shù)據(jù)的能力。
與機(jī)密vm一樣，機(jī)密kubernetes節(jié)點也基于amd最新的epyc處理器，該處理器在其zen 2 core架構(gòu)中集成了基于硬件的加密。根據(jù)google（nasdaq：googl）的說法，運行受保護(hù)節(jié)點的群集會自動強(qiáng)制使用機(jī)密vm。機(jī)密節(jié)點在epyc處理器的“安全加密虛擬化”功能內(nèi)使用內(nèi)存加密。
合作伙伴說，運行在google cloud中的機(jī)密vm可以增加到240個虛擬cpu和896 gb的內(nèi)存。amd（納斯達(dá)克股票代碼：amd）還推廣其最新的基于7納米制程技術(shù)的epyc處理器，作為將應(yīng)用程序和數(shù)據(jù)遷移到云的平臺。
基于硬件的安全性方法使用“信任根”方法，其中加密密鑰用于保護(hù)功能。amd表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。
該架構(gòu)使用虛擬密鑰對內(nèi)存進(jìn)行加密，然后安全處理器將密鑰映射到內(nèi)存中運行的vm。系統(tǒng)管理程序無法訪問加密的內(nèi)存，“來賓”操作系統(tǒng)選擇可以共享的數(shù)據(jù)。
同時，谷歌云表示其機(jī)密節(jié)點將在其即將發(fā)布的kubernetes引擎版本中以beta形式發(fā)布。
谷歌首席互聯(lián)網(wǎng)傳播者溫頓·瑟夫（vinton cerf）說：“我們相信云計算的未來將越來越多地轉(zhuǎn)向私有加密服務(wù)。”
cerf補(bǔ)充說：“在處理數(shù)據(jù)時，沒有簡單的解決方案來對其進(jìn)行加密。” 因此，促進(jìn)了機(jī)密計算計劃的發(fā)展，因為它在客戶和數(shù)據(jù)中心之間“使用中”以及在靜態(tài)和靜態(tài)時加密數(shù)據(jù)。
現(xiàn)在，機(jī)密vm模型已應(yīng)用于基于容器的工作負(fù)載，可對內(nèi)存中以及cpu外部其他位置的數(shù)據(jù)進(jìn)行加密。cerf解釋說：“內(nèi)存控制器使用google不能訪問的嵌入式硬件密鑰在cpu邊界內(nèi)解密數(shù)據(jù)。”
隨著企業(yè)微服務(wù)開始興起，隔離應(yīng)用程序容器資源和依賴性是最初的挑戰(zhàn)。谷歌和amd押注增加了一層數(shù)據(jù)處理安全性，將推動云供應(yīng)商的私有加密云服務(wù)戰(zhàn)略。
內(nèi)存加密將進(jìn)一步隔離工作負(fù)載，同時還將租戶與云基礎(chǔ)架構(gòu)隔離。“我們的目標(biāo)是確保功能與我們使用的硬件無關(guān)，” cerf說。因此，google與其他cpu供應(yīng)商合作，并將對機(jī)密計算的支持?jǐn)U展到gpu，tensor處理單元和fpga。
google cloud是linux基金會于2019年10月成立的機(jī)密計算聯(lián)盟的創(chuàng)始成員之一。其他成員包括阿里巴巴，arm，華為，英特爾，微軟和ibm的red hat部門。