谷歌将内存加密扩展到 Kubernetes:基于 AMD 最新
2020-09-11 03:04
  

来源:[db:来源]作者:新闻库来源发布时间:2020-09-11 Google Cloud 和 AMD 于今年夏季推出了 机密计算计划,该计划在内存和 CPU 以外的其他位置维护数据加密。该方案在 AMD 最新的 EPYC 处理器中利用了基于硬件的加密。 合作伙伴本周表……

  Google Cloud 和 AMD 于今年夏季推出了 “机密计算”计划,该计划在内存和 CPU 以外的其他位置维护数据加密。该方案在 AMD 最新的 EPYC 处理器中利用了基于硬件的加密。

  合作伙伴本周表示,他们正在扩展机密云计算计划,以涵盖通过 Google 的 Kubernetes Engine 在 Kubernetes 集群上运行的工作负载。这些 GKE 节点将在即将发布的 Beta 版本中提供。在周二(9 月 8 日),Google 还宣布了 7 月份发布的机密虚拟机的全面上市。

  谷歌云还表示,它将把对机密计算的支持范围从 AMD 扩展到一系列数据中心处理器。在这两种情况下,价值主张都是在处理数据时 “使用中”加密数据的能力。

  与机密 VM 一样,机密 Kubernetes 节点也基于 AMD 最新的 EPYC 处理器,该处理器在其 Zen 2 Core 架构中集成了基于硬件的加密。根据 Google(NASDAQ:GOOGL)的说法,运行受保护节点的群集会自动强制使用机密 VM。机密节点在 EPYC 处理器的 “安全加密虚拟化”功能内使用内存加密。

  合作伙伴说,运行在 Google Cloud 中的机密 VM 可以增加到 240 个虚拟 CPU 和 896 GB 的内存。AMD还推广其最新的基于 7 纳米制程技术的 EPYC 处理器,作为将应用程序和数据迁移到云的平台。

  基于硬件的安全性方法使用 “信任根”方法,其中加密密钥用于保护功能。AMD 表示,这些密钥是在芯片上管理的,这意味着只有用户才能查看它们。

  该架构使用虚拟密钥对内存进行加密,然后安全处理器将密钥映射到内存中运行的 VM。系统管理程序无法访问加密的内存,“来宾”操作系统选择可以共享的数据。

  同时,谷歌云表示其机密节点将在其即将发布的 Kubernetes 引擎版本中以 beta 形式发布。

  谷歌首席互联网传播者温顿 · 瑟夫(Vinton Cerf)说:“我们相信云计算的未来将越来越多地转向私有加密服务。”

  Cerf 补充说:“在处理数据时,没有简单的解决方案来对其进行加密。” 因此,促进了机密计算计划的发展,因为它在客户和数据中心之间 “使用中”以及在静态和静态时加密数据。

  现在,机密 VM 模型已应用于基于容器的工作负载,可对内存中以及 CPU 外部其他位置的数据进行加密。Cerf 解释说:“内存控制器使用 Google 不能访问的嵌入式硬件密钥在 CPU 边界内解密数据。”

  随着企业微服务开始兴起,隔离应用程序容器资源和依赖性是最初的挑战。谷歌和 AMD 押注增加了一层数据处理安全性,将推动云供应商的私有加密云服务战略。

  内存加密将进一步隔离工作负载,同时还将租户与云基础架构隔离。“我们的目标是确保功能与我们使用的硬件无关,” Cerf 说。因此,Google 与其他 CPU 供应商合作,并将对机密计算的支持扩展到 GPU,Tensor 处理单元和 FPGA。

  Google Cloud 是 Linux 基金会于 2019 年 10 月成立的机密计算联盟的创始成员之一。其他成员包括阿里巴巴,Arm,华为,英特尔,微软和 IBM 的 Red Hat 部门。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


Copyright©1995-2009 版权所有 中医尿毒症治疗网  未经授权请勿转载,本网站内容仅供参考,不做医疗诊断依据。
皖ICP备07502895号