Google在其雲端平臺推出Shielded GKE節點Beta測試版,提供強健且可驗證的節點完整性(Integrity),增加GKE節點的安全防護。而Shielded GKE節點則是建立於去年7月所發布的Shielded虛擬機器之上。

Google提到,隨著越來越多企業採用容器,使用Kubernetes部署工作負載,新的容器介面需要有特別的防護措施,否則存在漏洞的Kubernetes節點,給駭客廣泛的攻擊機會,可能以此取得有價值的使用者資料。而這個風險也不僅止於推論階段,因為在去年就已經有安全研究人員,成功透過Google上的工作節點憑證,取得整個叢集的存取權限。

而Shielded GKE節點強化了底層,增加抵抗各種Rootkit和Bootkit的攻擊,確保使用者的節點不被任意竄改,同時也能保護工作負載免於遠端攻擊或是特權提升等威脅。在Shielded GKE節點中,會對節點作業系統的出處進行確認,透過加密驗證檢查,確保節點作業系統正在Google資料中心的虛擬機器上運作。

也還會使用進階平臺上的安全功能,像是安全與測量啟動(Secure and Measured Boot)、虛擬可信平臺模組(vTPM)、可信UEFI韌體以及全面性監控等技術,提供進階Rootkit和Bootkit保護。Shielded GKE節點還使用了可信計算的標準規範,以驗證節點啟動的完整性並強化節點啟動程序。

Shielded GKE節點建構在Google Compute Engine的Shielded虛擬機器上,與Shielded虛擬機器相同的計價方式相同,用戶可以免費使用Shielded GKE節點,並能選擇Ubuntu或是Container Optimized OS(COS) 節點映像檔,執行GKE v1.13.6或更新版本。目前Shielded GKE節點服務已經在所有區域提供。


熱門新聞

Advertisement