當前位置: 主頁 > 新聞 >
 

擴充 Google Cloud 的機密運算產品組合

本文作者: Sunil Potti       點擊: 2020-09-23 15:35
前言:
 對 Google Cloud 使用者而言,他們能完全掌控自己的資料。我們的分層式安全防護機制可以主動保護資料,讓使用者自行控管。事實上,Google 認為雲端運算服務在未來會逐漸走向私人加密服務,讓使用者能夠確信所屬機構內部人員或雲端服務供應商無法解讀資料內容,無須擔心隱私問題。機密運算能夠實現這樣的願景,因為不只記憶體中的資料會在處理過程中維持加密狀態,CPU 外部的資料也是如此。

2020 年 Google Cloud Next 大會:OnAir 於今年 7 月展開,我們在大會首日宣布了機密 VM (Confidential VMs) 即將推出 Beta 版的消息,這是 Google Cloud 機密運算產品組合中的第一項產品。如今,我們仍在努力擴充 Google Cloud 機密運算產品組合,以下兩則最新消息可以說明我們的願景:

·       首先,機密 GKE 節點 (Confidential GKE Nodes) 是 Google Cloud 機密運算產品組合中的第二位成員。這項產品即將推出 Beta 版,並從 GKE 1.18 版開始支援。如果企業想要搭配使用 Kubernetes 叢集與 Google Kubernetes Engine ( GKE ),這項產品就能提供更多機密工作負載處理選項。

·       我們也正在準備正式發行機密 VM。所有 Google Cloud 客戶在未來幾週內即可開始使用這項技術,當中包含我們在 Beta 版中新增的功能。

將機密運算導入容器工作負載

隨著客戶紛紛著手翻新現有應用程式及建構雲端原生應用程式,GKE 逐漸成為客戶經常使用的基礎產品。應用程式現代化也有可能促成安全防護機制的翻新。在打造機密運算產品組合的同時,我們希望為容器化工作負載環境提供更高階的機密性和可攜性。Google Cloud 機密 GKE 節點的建構技術基礎與機密 VM 相同,可讓你透過節點專屬的金鑰對記憶體中的資料進行加密,AMD EPYC 處理器則會負責產生及代管這些金鑰。

以技術層面來看,機密 GKE 節點可讓你對 GKE 叢集進行設定,僅部署具有機密 VM 功能的節點集區。如果你的叢集啟用了機密 GKE 節點,系統就會自動強制規定所有工作站節點均須使用機密 VM。AMD EPYC™ 處理器使用 AMD 安全加密虛擬化(Secure Encrypted Virtualization,SEV) 功能,GKE 機密節點則會使用這項功能提供的硬體記憶體加密機制。也就是說,如果你的工作負載是在機密節點中運作,使用中的資料就會經過加密。

我們將在下個月發布更多機密 GKE 節點的相關消息,敬請拭目以待!
 
機密 VM 即將正式發行
Google Cloud 採用多項隔離與沙盒技術,確保多用戶群架構安全無虞。機密 VM 可讓安全性更上一層樓,因為這項技術會對記憶體進行加密,進一步將不同的工作負載和用戶群區隔開來,同時與雲端基礎架構分割。以隨即轉移和新建的工作負載來說,機密 VM 提供了一個相當易於使用的案選擇,可妥善保護 Google Compute Engine 中的工作負載記憶體。
Thales Digital Factory 副總裁 Raphaël de Cormis 表示:「對企業來說,能夠透過機密運算技術將雲端中的機密資料加密是非常重要的優勢,因為這樣就能妥善保護靜態資料、傳輸中的資料,甚至是使用中的資料。道理十分簡單,我們可以透過易於使用的套件部署 Google Cloud 機密 VM,進而取得高規格的隔離機制,讓我們的客戶以順暢且符合成本效益的方式遵守相關法規和隱私權規範。」

機密 VM 可以為要求最嚴苛的運算工作提供卓越效能,並透過每個 VM 執行個體專屬的金鑰對 VM 記憶體進行加密,AMD EPYC 處理器內嵌的 AMD 安全處理器則會負責產生及代管這些金鑰。機密 VM 可擴充至 240 個 vCPU 與 896 GiB 記憶體,而且運作時不會讓效能大打折扣。

AMD 資料中心產業體系與應用工程全球副總裁 Raghu Nambiar 表示:「安全加密虛擬化是 AMD EPYC 處理器的進階安全性功能,我們相當期待這項功能可以從 Google Cloud 的機密 VM 拓展至機密 GKE 節點。只要搭配運用 AMD EPYC 處理器和 Google Cloud 的機密運算產品組合,客戶資料就能安全無虞,進而放心將應用程式遷移至雲端,而且過程毫不費力。」

我們以基礎技術為建構要素,推出全新的機密 VM 功能:

1. 滿足法規遵循需求的稽核報告。AMD Secure Processor Firmware 會在機密 VM 執行個體中產生金鑰,而與其完整性有關的詳細記錄檔現已納入稽核報告。我們會在你初次啟動 VM 時建立一個完整性基準,並在 VM 每次重新啟動時加以比對。另外,你也可以依據這些記錄檔自訂動作或快訊。
稽核報告

2. 全新的機密運算資源政策控管機制。你現在可以設定用於身分與存取權管理的機構政策( IAM Org Policy),藉此定義機密 VM 專屬的存取權限。另外,你也能停用在專案中運作的任何非機密 VM。套用這項政策之後,任何嘗試在該項專案中啟動非機密 VM 的動作都會失敗。隨著搭載機密運算技術的服務日漸增加,只要你善用這些身分與存取權管理政策,就能輕鬆控管要在專案、資料夾或機構中啟用哪些機密運算資源。
 
機密 VM 的政策控管機制

3. 與其他強制執行機制相互整合。你可以搭配使用共用虛擬私人雲端、機構政策限制和防火牆規則,以確保機密 VM 只能與其他機密 VM 互動 (無論機密 VM 是否隸屬於同一項專案)。另外,你也能透過 VPC Service Controls 定義機密 VM 的 GCP 資源範圍。舉例來說,你可以將 Google Cloud Storage 值區設為僅供機密 VM 的服務帳戶存取。

4. 透過機密 VM 安全地共用密鑰。使用機密 VM 時,你可能需要處理透過外部金鑰加密的敏感檔案。在此情況下,你必須透過機密 VM 共用檔案密文和加密金鑰。為確保共用這類密鑰的程序安全無虞,機密 VM 可能會使用虛擬信任平台模組 (vTPM),你則能透過 go-tpm 開放原始碼資料庫中的 API 將密鑰與機密 VM 的 vTPM 相互繫結。
 
足以扭轉局勢的技術
轉型技術可以解決諸多問題,讓我們的生活更加美好。機密運算可以加速推動數位轉型,徹底改變企業在雲端環境中處理資料的方式,同時保有機密性和隱私性。我們迫不及待想瞭解這項技術可以為各個企業帶來的可能性。歡迎立即開始使用機密 VM。如想在機密 GKE 節點 Beta 版推出時收到通知,請按這裡註冊。
 
本文作者:
Google Cloud 雲端安全總經理暨副總裁 Sunil Potti
Google Cloud 應用程式現代化平台工程部門總經理暨副總裁 Eyal Manor

電子郵件:look@compotechasia.com

聯繫電話:886-2-27201789       分機請撥:11