谷歌宣佈在谷歌計算引擎上推出機密計算虛擬機 (VM),由第二代 AMD EPYC 處理器的安全性提供支持。 在披露中,谷歌宣布他們已經完成了在九個地區全面推出機密計算的工作; 使 AMD、Red Hat、SUSE、Thales 等合作夥伴成為可能。 機密計算可以提供一個靈活的、隔離的、基於硬件的可信執行環境,允許採用者保護他們的數據和敏感代碼在數據使用過程中免受惡意訪問和內存窺探。
谷歌宣佈在谷歌計算引擎上推出機密計算虛擬機 (VM),由第二代 AMD EPYC 處理器的安全性提供支持。 在披露中,谷歌宣布他們已經完成了在九個地區全面推出機密計算的工作; 使 AMD、Red Hat、SUSE、Thales 等合作夥伴成為可能。 機密計算可以提供一個靈活的、隔離的、基於硬件的可信執行環境,允許採用者保護他們的數據和敏感代碼在數據使用過程中免受惡意訪問和內存窺探。
據谷歌稱,機密計算(或機密 VM)是一個相對較新的概念,用於加密系統主內存中使用的數據,同時仍提供高性能。 該解決方案解決了許多組織在將其敏感應用程序遷移到雲中並在其應用程序使用時保護其最有價值的信息的關鍵安全問題。 Google 對生態系統寄予厚望; 並且有信心在幾年內,雲中的所有虛擬機 (VM) 都將成為機密 VM。 客戶將更好地控制他們的數據,使他們能夠更好地保護他們的工作負載並自信地在雲中進行協作。
Google 合作夥伴對於建立跨移動、邊緣和雲的機密計算生態系統至關重要。 谷歌、AMD 和其他機密 VM 合作夥伴分享了他們對機密計算的看法,以及谷歌如何採用 AMD EPYC(霄龍)處理器的機密 VM。
AMD 關於機密計算的好處
谷歌用於其機密 VM 的第二代 AMD EPYC 處理器使用稱為安全加密虛擬化 (SEV) 的高級安全功能。 SEV 適用於所有 AMD EPYC 處理器。 當由 OEM 或云提供商啟用時,它會對虛擬機上使用的數據進行加密,有助於將其與其他來賓、管理程序甚至系統管理員隔離開來。 SEV 功能通過為每個虛擬機提供一個加密密鑰來工作,該密鑰將來賓和管理程序彼此分開。 這些密鑰由 AMD 安全處理器創建、分發和管理。 SEV 的好處是客戶無需重新編寫或重新編譯應用程序即可訪問這些安全功能。
AMD 宣稱機密計算是公有云計算的遊戲規則改變者。 它解決了許多組織在將其敏感應用程序遷移到雲時遇到的基本安全問題。 帶有 AMD EPYC 處理器和 SEV 的 Google Confidential VM 加強了 VM 隔離和使用中的數據保護。 它將幫助客戶在公共雲中的應用程序使用時保護他們最有價值的信息。
紅帽
紅帽認為,機密計算是將安全性從本地部署擴展到雲中的一種基本方法。 紅帽企業 Linux 旨在滿足客戶在本地和混合雲環境中的需求。 客戶需要穩定性、可預測性和可隨工作負載擴展的管理解決方案,這就是紅帽產品組合中啟用機密計算解決方案的原因。 對於這些客戶,紅帽尋求幫助他們轉變為真正開放的混合雲環境,擴大他們的數字化轉型機會。 機密計算將使客戶能夠提供更具競爭力的解決方案,同時為客戶維護數據隱私和保護保證。
SUSE
SUSE 與 AMD 密切合作,在 Linux 內核中添加了對 AMD EPYC SEV 處理器的上游支持,並率先宣佈在 Google Cloud Marketplace 中提供的 SUSE Linux Enterprise Server 15 SP1 中提供機密 VM 支持。 這些創新使他們的客戶能夠利用 Google Cloud Platform 的規模和成本節約以及關鍵任務的可管理性、合規性和支持。 這項技術為遺留的本地工作負載、自定義應用程序以及私人和政府工作負載開闢了新的遷移機會領域,這些工作負載在過去曾被認為不是雲就緒的,需要最高的安全性和合規性要求。
典範
Google 和 Canonical 之間的合作確保了 Ubuntu 針對大規模 GCP 操作進行了優化。 機密計算需要多個部分對齊。 Canonical 表示,他們很高興在一開始就與穀歌一起為這一關鍵功能提供全面的 Ubuntu 支持。
具有硬件密鑰管理和證明的內存加密可防止管理程序的妥協成為對來賓數據或完整性的妥協。 Canonical Ubuntu 完全支持 Google Cloud 上的機密計算,在公共雲基礎架構中提供了一個新的信任級別。
HashiCorp保險庫
HashiCorp Vault 使團隊能夠安全地存儲並嚴格控制對令牌、密碼、證書和加密密鑰的訪問,以保護機器和應用程序。 當與 GCP 的機密計算功能相結合時,機密性可以擴展到 HashiCorp Vault 服務器的系統內存,確保主機上的惡意軟件、惡意特權用戶或零日不能破壞數據。 隨著機密計算節點的可用性,利用現代 CPU 的安全特性和機密計算服務,通過加密保護內存中的數據。 HashiCorp Vault 和 Google Cloud Confidential Computing 的結合為用戶提供了滿足其企業範圍雲安全需求的關鍵解決方案。
泰雷茲
對於 Thales 而言,機密計算解決了企業在內存信任方面特別存在的一個問題,即內存無法被雲提供商看到或使用。 可以立即受益於這項技術的三個關鍵用例包括邊緣計算、外部密鑰管理和內存中的秘密。 Thales 和 Google Cloud 已在多個領域開展合作,包括雲、安全、Kubernetes 容器以及持續訪問評估協議 (CAEP) 等新技術。 核心是,他們都努力為客戶提供最佳選擇,以實現強大的安全性和隱私保護。
參與 StorageReview
電子通訊 | YouTube | 播客 iTunes/Spotify | Instagram | Twitter | Facebook | RSS訂閱
