谷歌將內(nèi)存加密擴(kuò)展到 Kubernetes：基于 AMD 最新 EPYC 處理器

　　Google Cloud 和 AMD 于今年夏季推出了 “機(jī)密計算”計劃，該計劃在內(nèi)存和 CPU 以外的其他位置維護(hù)數(shù)據(jù)加密。該方案在 AMD 最新的 EPYC 處理器中利用了基于硬件的加密。

　　合作伙伴本周表示，他們正在擴(kuò)展機(jī)密云計算計劃，以涵蓋通過 Google 的 Kubernetes Engine 在 Kubernetes 集群上運行的工作負(fù)載。這些 GKE 節(jié)點將在即將發(fā)布的 Beta 版本中提供。在周二(9 月 8 日)，Google 還宣布了 7 月份發(fā)布的機(jī)密虛擬機(jī)的全面上市。

　　谷歌云還表示，它將把對機(jī)密計算的支持范圍從 AMD 擴(kuò)展到一系列數(shù)據(jù)中心處理器。在這兩種情況下，價值主張都是在處理數(shù)據(jù)時 “使用中”加密數(shù)據(jù)的能力。

　　與機(jī)密 VM 一樣，機(jī)密 Kubernetes 節(jié)點也基于 AMD 最新的 EPYC 處理器，該處理器在其 Zen 2 Core 架構(gòu)中集成了基于硬件的加密。根據(jù) Google(NASDAQ：GOOGL)的說法，運行受保護(hù)節(jié)點的群集會自動強(qiáng)制使用機(jī)密 VM。機(jī)密節(jié)點在 EPYC 處理器的 “安全加密虛擬化”功能內(nèi)使用內(nèi)存加密。

　　合作伙伴說，運行在 Google Cloud 中的機(jī)密 VM 可以增加到 240 個虛擬 CPU 和 896 GB 的內(nèi)存。AMD還推廣其最新的基于 7 納米制程技術(shù)的 EPYC 處理器，作為將應(yīng)用程序和數(shù)據(jù)遷移到云的平臺。

　　基于硬件的安全性方法使用 “信任根”方法，其中加密密鑰用于保護(hù)功能。AMD 表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。

　　該架構(gòu)使用虛擬密鑰對內(nèi)存進(jìn)行加密，然后安全處理器將密鑰映射到內(nèi)存中運行的 VM。系統(tǒng)管理程序無法訪問加密的內(nèi)存，“來賓”操作系統(tǒng)選擇可以共享的數(shù)據(jù)。

　　同時，谷歌云表示其機(jī)密節(jié)點將在其即將發(fā)布的 Kubernetes 引擎版本中以 beta 形式發(fā)布。

　　谷歌首席互聯(lián)網(wǎng)傳播者溫頓 · 瑟夫(Vinton Cerf)說：“我們相信云計算的未來將越來越多地轉(zhuǎn)向私有加密服務(wù)。”

　　Cerf 補充說：“在處理數(shù)據(jù)時，沒有簡單的解決方案來對其進(jìn)行加密。” 因此，促進(jìn)了機(jī)密計算計劃的發(fā)展，因為它在客戶和數(shù)據(jù)中心之間 “使用中”以及在靜態(tài)和靜態(tài)時加密數(shù)據(jù)。

　　現(xiàn)在，機(jī)密 VM 模型已應(yīng)用于基于容器的工作負(fù)載，可對內(nèi)存中以及 CPU 外部其他位置的數(shù)據(jù)進(jìn)行加密。Cerf 解釋說：“內(nèi)存控制器使用 Google 不能訪問的嵌入式硬件密鑰在 CPU 邊界內(nèi)解密數(shù)據(jù)。”

　　隨著企業(yè)微服務(wù)開始興起，隔離應(yīng)用程序容器資源和依賴性是最初的挑戰(zhàn)。谷歌和 AMD 押注增加了一層數(shù)據(jù)處理安全性，將推動云供應(yīng)商的私有加密云服務(wù)戰(zhàn)略。

　　內(nèi)存加密將進(jìn)一步隔離工作負(fù)載，同時還將租戶與云基礎(chǔ)架構(gòu)隔離。“我們的目標(biāo)是確保功能與我們使用的硬件無關(guān)，” Cerf 說。因此，Google 與其他 CPU 供應(yīng)商合作，并將對機(jī)密計算的支持?jǐn)U展到 GPU，Tensor 處理單元和 FPGA。

　　Google Cloud 是 Linux 基金會于 2019 年 10 月成立的機(jī)密計算聯(lián)盟的創(chuàng)始成員之一。其他成員包括阿里巴巴，Arm，華為，英特爾，微軟和 IBM 的 Red Hat 部門。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。