Google Cloud与AMD在今年夏季推出的“机密计算”计划,将数据加密的维护范围扩展至内存和CPU以外的领域,这一创新举措在行业内引起了广泛关注。该方案充分利用了AMDEPYC处理器中的硬件加密技术。
合作伙伴本周宣布,他们正在对机密云计算计划进行扩展,以支持在Kubernetes集群上运行的工作负载。这些GKE节点将在即将发布的Beta版本中提供。上周,Google也正式宣布了机密虚拟机的全面上市。
谷歌云进一步表示,它将把对机密计算的支持从AMD扩展到一系列数据中心处理器。在这两种情况下,主要价值在于处理数据时能够加密“使用中”的数据。
与机密虚拟机类似,机密Kubernetes节点也基于AMD的EPYC处理器,该处理器在其Zen 2 Core架构中集成了硬件加密。据Google官方表示,运行受保护节点的集群将自动强制执行机密VM的使用。这些机密节点利用EPYC处理器的“安全加密虚拟化”功能进行内存加密。
合作伙伴透露,运行在Google Cloud中的机密VM可以配备高达240个虚拟CPU和896GB的内存。AMD还在推广其的7纳米制程技术的EPYC处理器,作为将应用程序和数据迁移到云的平台。
基于硬件的安全方法使用“信任根”方法,其中加密密钥用于保护功能。AMD指出,这些密钥是在芯片上管理的,只有用户才能访问它们。架构方面,通过虚拟密钥对内存进行加密,安理器将密钥映射到内存中运行的虚拟机。系统管理程序无法访问加密的内存,只有“来宾”操作系统才能选择共享数据。
谷歌云的首席互联网传播者温顿·瑟夫(Vinton Cerf)表示,“我们相信云计算的未来将越来越多地转向私有加密服务。”瑟夫还补充说,在处理数据时,没有简单的解决方案来进行加密,这促进了机密计算计划的发展,因为它可以在客户和数据中心之间“使用中”以及在静态时加密数据。
现在,机密VM模型已应用于基于容器的工作负载,可对内存中以及其他CPU外部位置的数据进行加密。瑟夫解释说,内存控制器使用Google无法访问的嵌入式硬件密钥在CPU边界内进行解密。
随着企业微服务开始兴起,隔离应用程序容器资源和依赖性成为最初面临的挑战。谷歌和AMD的增加了一层数据处理安全性,这将推动云供应商的私有加密云服务战略。内存加密不仅将进一步隔离工作负载,还将租户与云基础设施隔离。Google与其他CPU供应商合作,并将机密计算的支持扩展到GPU、Tensor处理单元和FPGA。
Google Cloud是Linux基金会于2019年10月成立的机密计算联盟的创始成员之一,该联盟包括阿里巴巴、Arm、华为、英特尔、微软和IBM的Red Hat部门等其他成员。这个联盟的形成标志着各大科技巨头对于数据加密和处理的安全性的高度重视和合作意向。而谷歌和AMD的合作则是其中的重要一环。他们共同开发的机密计算计划不仅对于云服务提供商来说是一个重要的战略方向,对于企业和个人用户来说也具有极大的价值。因为他们能够提供更加安全的数据处理服务,保护用户的隐私和数据安全。同时对于企业来说也可以更好地保障商业机密的安全性和完整性从而更好地应对日益增长的数据处理需求和市场挑战。总之谷歌与AMD的合作将会推动云服务的进一步发展并为用户带来更加安全可靠的云服务体验。