Google Cloud Confidential VMs — безопасные ВМ с шифрованием AMD SVE

 

Компания Google представила на мероприятии Google Cloud Next '20 OnAir, прошедшем в цифровом формате, новый тип виртуальной машины Confidential VMs (cVMs), построенной на основе технологии шифрования Secure Encryption Virtualization (SEV) компании AMD. Эта функция доступна в процессорах EPYC второго поколения.

Решение Confidential VMs является первым продуктом в портфолио Confidential Computing (конфиденциальные вычисления) компании Google. А Google стала первым облачным провайдером, предложившим виртуальные машины с поддержкой SEV. «С выпуском бета-версии Confidential VMs мы стали первым крупным облачным провайдером, предложившим такой уровень безопасности и изоляции, предоставляя заказчикам простой, простой в использовании вариант как для новых приложений, так и для приложений „lift-and-shift“», — сообщила Google Cloud в своём блоге.

По словам компании, данный подход обеспечивает:

  • Принципиально более высокую конфиденциальность: теперь клиенты могут защищать конфиденциальность своих наиболее секретных данных в облаке, даже когда они обрабатываются.
  • Расширенные инновации: Confidential Computing могут разблокировать вычислительные сценарии, которые ранее были невозможны. Теперь организации смогут обмениваться наборами секретных данных и совместно работать над исследованиями в облаке, сохраняя при этом конфиденциальность.
  • Конфиденциальность для рабочих нагрузок: цель Google — сделать конфиденциальные вычисления простыми. Переход к Confidential VMs происходит плавно — все рабочие нагрузки GCP, которые вы запускаете сегодня на виртуальных машинах, могут работать в Confidential VM.

Confidential VMs базируются на виртуальных машинах серии N2D с процессорами AMD EPYC второго поколения. Как утверждает Google, добавление SEV для полного шифрования памяти и виртуализации практически никак не отражается на производительности. Google предложит образы для своих cVMs с Ubuntu 18.04 / 20.04, COS v81 и RHEL 8.2. В дальнейшем будут предложены другие варианты ОС.

SEV на процессорах AMD EPYC второго поколения позволяет облачным провайдерам шифровать все данные и память на уровне каждой виртуальной машины. Ключи генерируются «на лету» на аппаратном уровне и не подлежат экспорту, что снижает риск побочных атак со стороны потенциально агрессивных «соседей». Ранее вычислительная модель такого рода была возможна только в том случае, если хост брал на себя управление целым сервером, что в большинстве случаев нецелесообразно.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источники:

Постоянный URL: https://servernews.ru/1015711
Поделиться:  

Комментарии

Система Orphus