Google將內存加密擴展到Kubernetes

【TechWeb】Google Cloud和AMD于今年夏季推出了“機密計算”計劃，該計劃在內存和CPU以外的其他位置維護數據加密。該方案在AMD最新的EPYC處理器中利用了基于硬件的加密。

合作伙伴本周表示，他們正在擴展機密云計算計劃，以涵蓋通過Google的Kubernetes Engine在Kubernetes集群上運行的工作負載。這些GKE節(jié)點將在即將發(fā)布的Beta版本中提供。在周二（9月8日），Google還宣布了7月份發(fā)布的機密虛擬機的全面上市。

谷歌云還表示，它將把對機密計算的支持范圍從AMD擴展到一系列數據中心處理器。在這兩種情況下，價值主張都是在處理數據時“使用中”加密數據的能力。

與機密VM一樣，機密Kubernetes節(jié)點也基于AMD最新的EPYC處理器，該處理器在其Zen 2 Core架構中集成了基于硬件的加密。根據Google（NASDAQ：GOOGL）的說法，運行受保護節(jié)點的群集會自動強制使用機密VM。機密節(jié)點在EPYC處理器的“安全加密虛擬化”功能內使用內存加密。

合作伙伴說，運行在Google Cloud中的機密VM可以增加到240個虛擬CPU和896 GB的內存。AMD（納斯達克股票代碼：AMD）還推廣其最新的基于7納米制程技術的EPYC處理器，作為將應用程序和數據遷移到云的平臺。

基于硬件的安全性方法使用“信任根”方法，其中加密密鑰用于保護功能。AMD表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。

該架構使用虛擬密鑰對內存進行加密，然后安全處理器將密鑰映射到內存中運行的VM。系統(tǒng)管理程序無法訪問加密的內存，“來賓”操作系統(tǒng)選擇可以共享的數據。

同時，谷歌云表示其機密節(jié)點將在其即將發(fā)布的Kubernetes引擎版本中以beta形式發(fā)布。

谷歌首席互聯(lián)網傳播者溫頓·瑟夫（Vinton Cerf）說：“我們相信云計算的未來將越來越多地轉向私有加密服務。”

Cerf補充說：“在處理數據時，沒有簡單的解決方案來對其進行加密。”因此，促進了機密計算計劃的發(fā)展，因為它在客戶和數據中心之間“使用中”以及在靜態(tài)和靜態(tài)時加密數據。

現(xiàn)在，機密VM模型已應用于基于容器的工作負載，可對內存中以及CPU外部其他位置的數據進行加密。Cerf解釋說：“內存控制器使用Google不能訪問的嵌入式硬件密鑰在CPU邊界內解密數據?！?/span>

隨著企業(yè)微服務開始興起，隔離應用程序容器資源和依賴性是最初的挑戰(zhàn)。谷歌和AMD押注增加了一層數據處理安全性，將推動云供應商的私有加密云服務戰(zhàn)略。

內存加密將進一步隔離工作負載，同時還將租戶與云基礎架構隔離?！拔覀兊哪繕耸谴_保功能與我們使用的硬件無關，”Cerf說。因此，Google與其他CPU供應商合作，并將對機密計算的支持擴展到GPU，Tensor處理單元和FPGA。

Google Cloud是Linux基金會于2019年10月成立的機密計算聯(lián)盟的創(chuàng)始成員之一。其他成員包括阿里巴巴，Arm，華為，英特爾，微軟和IBM的Red Hat部門。【TechWeb】