GCP推出Shielded GKE節點測試版

Google在其雲端平臺推出Shielded GKE節點Beta測試版，提供強健且可驗證的節點完整性（Integrity），增加GKE節點的安全防護。而Shielded GKE節點則是建立於去年7月所發布的Shielded虛擬機器之上。

Google提到，隨著越來越多企業採用容器，使用Kubernetes部署工作負載，新的容器介面需要有特別的防護措施，否則存在漏洞的Kubernetes節點，給駭客廣泛的攻擊機會，可能以此取得有價值的使用者資料。而這個風險也不僅止於推論階段，因為在去年就已經有安全研究人員，成功透過Google上的工作節點憑證，取得整個叢集的存取權限。

而Shielded GKE節點強化了底層，增加抵抗各種Rootkit和Bootkit的攻擊，確保使用者的節點不被任意竄改，同時也能保護工作負載免於遠端攻擊或是特權提升等威脅。在Shielded GKE節點中，會對節點作業系統的出處進行確認，透過加密驗證檢查，確保節點作業系統正在Google資料中心的虛擬機器上運作。

也還會使用進階平臺上的安全功能，像是安全與測量啟動（Secure and Measured Boot）、虛擬可信平臺模組（vTPM）、可信UEFI韌體以及全面性監控等技術，提供進階Rootkit和Bootkit保護。Shielded GKE節點還使用了可信計算的標準規範，以驗證節點啟動的完整性並強化節點啟動程序。

Shielded GKE節點建構在Google Compute Engine的Shielded虛擬機器上，與Shielded虛擬機器相同的計價方式相同，用戶可以免費使用Shielded GKE節點，並能選擇Ubuntu或是Container Optimized OS（COS） 節點映像檔，執行GKE v1.13.6或更新版本。目前Shielded GKE節點服務已經在所有區域提供。