谷歌将内存加密扩展到 Kubernetes：基于 AMD 崭新 EPYC 处理器

Google Cloud 和 AMD 于今年夏日推出了 “秘要计较”决策，该决策在内存和 CPU 以外的其余地位护卫数据加密。该计划在 AMD 非常新的 EPYC 处分器中行使了基于硬件的加密。

同盟同伴本周显露，他们正在扩大秘要云计较决策，以涵盖通过 Google 的 Kubernetes Engine 在 Kubernetes 集群上运转的工作负载。这些 GKE 节点将在即将公布的 Beta 版本中供应。在周二（9 月 8 日），Google 还揭露了 7 月份公布的秘要虚拟机的所有上市。

谷歌云还显露，它将把对秘要计较的支撑局限从 AMD 扩大到一系列数据中间处分器。在这两种环境下，代价主意都是在处分数据时 “应用中”加密数据的才气。

与秘要 VM 同样，秘要 Kubernetes 节点也基于 AMD 非常新的 EPYC 处分器，该处分器在其 Zen 2 Core 架构中集成了基于硬件的加密。凭据 Google（NASDAQ：GOOGL）的说法，运转受护卫节点的聚集会自动强迫应用秘要 VM。秘要节点在 EPYC 处分器的 “安全加密虚拟化”功效内应用内存加密。

同盟同伴说，运转在 Google Cloud 中的秘要 VM 可以增长到 240 个虚拟 CPU 和 896 GB 的内存。AMD还推行其非常新的基于 7 纳米制程技术的 EPYC 处分器，作为将应用程序和数据迁徙到云的平台。

基于硬件的安全性技巧应用 “信托根”技巧，此中加密密钥用于护卫功效。AMD 显露，这些密钥是在芯片上经管的，这意味着惟有用户才气查看它们。

该架构应用虚拟密钥对内存举行加密，而后安全处分器将密钥映射到内存中运转的 VM。体系经管程序无法走访加密的内存，“来宾”操纵体系选定可以互鉴的数据。

同时，谷歌云显露其秘要节点将在其即将公布的 Kubernetes 引擎版本中以 beta 形式公布。

谷歌首席互联网传布者温顿 · 瑟夫（Vinton Cerf）说：“我们相信云计较的来日将越来越多地转向专有加密服无。”

Cerf 增补说：“在处分数据时，没有简单的办理计划来对其举行加密。” 所以，激动了秘要计较决策的开展，由于它在客户和数据中间之间 “应用中”以及在静态和静态时加密数据。

当今，秘要 VM 模子已应用于基于容器的工作负载，可对内存中以及 CPU 外部其余地位的数据举行加密。Cerf 注释说：“内存掌握器应用 Google 不可以走访的嵌入式硬件密钥在 CPU 界限内解密数据。”

跟着企业微服无首先鼓起，断绝应用程序容器资源和依附性是非常初的搦战。谷歌和 AMD 押注增长了一层数据处分安全性，将推进云供应商的专有加密云服无计谋。

内存加密将进一步断绝工作负载，同时还将租户与云底子架构断绝。“我们的目标是确保功效与我们应用的硬件无关，” Cerf 说。所以，Google 与其余 CPU 供应商同盟，并将对秘要计较的支撑扩大到 GPU，Tensor 处分单位和 FPGA。

Google Cloud 是 Linux 基金会于 2019 年 10 月建立的秘要计较同盟的创始成员之一。其余成员包含阿里巴巴，Arm，华为，英特尔，微软和 IBM 的 Red Hat 部分。