谷歌将内存加密扩展到 Kubernetes:基于 AMD 崭新 EPYC 处理器

Google Cloud 和 AMD 于今年夏日推出了 “秘要计较”决策,该决策在内存和 CPU 以外的其余地位护卫数据加密。该计划在 AMD 非常新的 EPYC 处分器中行使了基于硬件的加密。

同盟同伴本周显露,他们正在扩大秘要云计较决策,以涵盖通过 Google 的 Kubernetes Engine 在 Kubernetes 集群上运转的工作负载。这些 GKE 节点将在即将公布的 Beta 版本中供应。在周二(9 月 8 日),Google 还揭露了 7 月份公布的秘要虚拟机的所有上市。

谷歌云还显露,它将把对秘要计较的支撑局限从 AMD 扩大到一系列数据中间处分器。在这两种环境下,代价主意都是在处分数据时 “应用中”加密数据的才气。

与秘要 VM 同样,秘要 Kubernetes 节点也基于 AMD 非常新的 EPYC 处分器,该处分器在其 Zen 2 Core 架构中集成了基于硬件的加密。凭据 Google(NASDAQ:GOOGL)的说法,运转受护卫节点的聚集会自动强迫应用秘要 VM。秘要节点在 EPYC 处分器的 “安全加密虚拟化”功效内应用内存加密。

同盟同伴说,运转在 Google Cloud 中的秘要 VM 可以增长到 240 个虚拟 CPU 和 896 GB 的内存。AMD还推行其非常新的基于 7 纳米制程技术的 EPYC 处分器,作为将应用程序和数据迁徙到云的平台。

基于硬件的安全性技巧应用 “信托根”技巧,此中加密密钥用于护卫功效。AMD 显露,这些密钥是在芯片上经管的,这意味着惟有用户才气查看它们。

该架构应用虚拟密钥对内存举行加密,而后安全处分器将密钥映射到内存中运转的 VM。体系经管程序无法走访加密的内存,“来宾”操纵体系选定可以互鉴的数据。

同时,谷歌云显露其秘要节点将在其即将公布的 Kubernetes 引擎版本中以 beta 形式公布。

谷歌首席互联网传布者温顿 · 瑟夫(Vinton Cerf)说:“我们相信云计较的来日将越来越多地转向专有加密服无。”

Cerf 增补说:“在处分数据时,没有简单的办理计划来对其举行加密。” 所以,激动了秘要计较决策的开展,由于它在客户和数据中间之间 “应用中”以及在静态和静态时加密数据。

当今,秘要 VM 模子已应用于基于容器的工作负载,可对内存中以及 CPU 外部其余地位的数据举行加密。Cerf 注释说:“内存掌握器应用 Google 不可以走访的嵌入式硬件密钥在 CPU 界限内解密数据。”

跟着企业微服无首先鼓起,断绝应用程序容器资源和依附性是非常初的搦战。谷歌和 AMD 押注增长了一层数据处分安全性,将推进云供应商的专有加密云服无计谋。

内存加密将进一步断绝工作负载,同时还将租户与云底子架构断绝。“我们的目标是确保功效与我们应用的硬件无关,” Cerf 说。所以,Google 与其余 CPU 供应商同盟,并将对秘要计较的支撑扩大到 GPU,Tensor 处分单位和 FPGA。

Google Cloud 是 Linux 基金会于 2019 年 10 月建立的秘要计较同盟的创始成员之一。其余成员包含阿里巴巴,Arm,华为,英特尔,微软和 IBM 的 Red Hat 部分。

您可能还会对下面的文章感兴趣: