Компания Google представила на мероприятии Google Cloud Next '20 OnAir, прошедшем в цифровом формате, новый тип виртуальной машины Confidential VMs (cVMs), построенной на основе технологии шифрования Secure Encryption Virtualization (SEV) компании AMD. Эта функция доступна в процессорах EPYC второго поколения.
Решение Confidential VMs является первым продуктом в портфолио Confidential Computing (конфиденциальные вычисления) компании Google. А Google стала первым облачным провайдером, предложившим виртуальные машины с поддержкой SEV. «С выпуском бета-версии Confidential VMs мы стали первым крупным облачным провайдером, предложившим такой уровень безопасности и изоляции, предоставляя заказчикам простой, простой в использовании вариант как для новых приложений, так и для приложений „lift-and-shift“», — сообщила Google Cloud в своём блоге.
По словам компании, данный подход обеспечивает:
- Принципиально более высокую конфиденциальность: теперь клиенты могут защищать конфиденциальность своих наиболее секретных данных в облаке, даже когда они обрабатываются.
- Расширенные инновации: Confidential Computing могут разблокировать вычислительные сценарии, которые ранее были невозможны. Теперь организации смогут обмениваться наборами секретных данных и совместно работать над исследованиями в облаке, сохраняя при этом конфиденциальность.
- Конфиденциальность для рабочих нагрузок: цель Google — сделать конфиденциальные вычисления простыми. Переход к Confidential VMs происходит плавно — все рабочие нагрузки GCP, которые вы запускаете сегодня на виртуальных машинах, могут работать в Confidential VM.
Confidential VMs базируются на виртуальных машинах серии N2D с процессорами AMD EPYC второго поколения. Как утверждает Google, добавление SEV для полного шифрования памяти и виртуализации практически никак не отражается на производительности. Google предложит образы для своих cVMs с Ubuntu 18.04 / 20.04, COS v81 и RHEL 8.2. В дальнейшем будут предложены другие варианты ОС.
SEV на процессорах AMD EPYC второго поколения позволяет облачным провайдерам шифровать все данные и память на уровне каждой виртуальной машины. Ключи генерируются «на лету» на аппаратном уровне и не подлежат экспорту, что снижает риск побочных атак со стороны потенциально агрессивных «соседей». Ранее вычислительная модель такого рода была возможна только в том случае, если хост брал на себя управление целым сервером, что в большинстве случаев нецелесообразно.
Источники:
