Google發布第一款機密運算(Confidential Computing)虛擬機器,透過加密記憶體中的資料,以大幅提升雲端運算的安全性,且因為其建立在庇護式虛擬機器(Shielded VM)之上,因此還可以免受rootkit攻擊,Google提到,機密虛擬機器對受管制的產業特別有用,可以保護敏感資料不洩漏。

GCP雖然會加密靜態資料以及傳輸中的資料,但是終究需要解密才能進行計算,這讓惡意人士有機可乘,而機密運算技術是一種突破性的安全技術,可以在計算過程維持資料加密,而機密運算的環境,也會加密儲存在記憶體,或是CPU外部其他地方的資料。

機密虛擬機器在搭載第二代AMD EPYC處理器的N2D虛擬機器上執行,使用AMD SEV功能,能以高效能執行高運算需求的工作,AMD EPYC處理器能夠產生和管理,每個虛擬機器執行個體專用的金鑰,並利用該金鑰對虛擬機器記憶體進行加密。

金鑰是由AMD安全處理器,在虛擬機器創建的時候生成,並且僅留存在虛擬機器中,因此無論是Google或是其他在主機上執行的虛擬機器,都無法取得這個金鑰。Google提到,他們與AMD密切合作,可確保記憶體加密不會影響工作負載的效能,整體來說,機密虛擬機器的效能非常接近非機密虛擬機器。

除了基於硬體的記憶體加密外,機密運算虛擬機器是以庇護式虛擬機器為基礎,能夠強化作業系統映像檔安全性,並且驗證韌體、核心二進位檔和驅動程式的完整性。Google提供機密運算虛擬機器可用的映像檔,包括Ubuntu 18.04、Ubuntu 20.04和RHEL 8.2等,Google也正在與CentOS、Debian和其他發行版合作,以提供更多的機密作業系統映像檔。

因為機密運算虛擬機器,使得許多使用情境變成可能,像是企業可以共享機密資料集,在雲端合作進行研究,但同時又能保持機密性,且因為機密運算是建立在庇護式虛擬機器之上,可以防禦rootkit和bootkit等惡意程式,確保作業系統的完整性,而Google也簡化機密虛擬機器的使用,用戶只要勾選啟用機密運算,當前在GCP虛擬機器上執行的所有工作負載,同樣都可以在機密虛擬機器上執行。


熱門新聞

Advertisement