在7月的時候,Google的機密虛擬機器服務才進入Beta測試版,現在Google釋出機密運算服務新進展,除了機密虛擬機器服務正式上線之外,也發布了第2款機密運算服務—機密GKE節點,讓企業可以在GKE執行容器工作負載時,獲得更全面的加密保護。

機密運算是在進行計算的時候,利用加密技術加密處理中的資料,在CPU之外的任何地方,包括儲存在硬碟與記憶體的資料都會加密,以確保企業的資料不會暴露給雲端供應商、內部人員或是任意第三方。Google現在除了機密虛擬機器之外,還提供機密GKE節點,將會從GKE 1.18版本的Beta測試版開始,在Kubernetes叢集服務增加機密選項。

不少企業把Kubernetes當作是建構雲端應用程式的基礎,但Google提到,在應用程式現代化的同時,除了提升可移植性,他們也希望容器化工作負載能夠有更高等級的機密性。因此Google使用建構機密虛擬機器的技術,打造新的機密GKE節點服務,利用AMD EPYC處理器所創建和管理的金鑰,在記憶體中以專用的金鑰加密資料。

用戶可以透過配置,只使用機密虛擬機器來配置機密GKE節點池,而且機密GKE節點也會自動強制在所有工作節點,使用機密虛擬機器。機密GKE節點所使用的硬體記憶體加密技術,是來自AMD EPYC處理器的安全加密虛擬化功能,也就是說,機密節點上執行的工作負載,會在執行時進行加密,以確保資料的安全性。

在發布新的機密服務的同時,機密虛擬機服務也推出了正式版,並且加入了幾項新功能。現在用戶可以查看法遵稽核報告,該報告包含AMD安全處理器韌體完整性的詳細日誌,在首次啟動虛擬機器時,系統會建立完整性基準,並在重新啟動時執行配對檢查,用戶可以利用這些日誌自定義操作或是警示。

機密運算資源也提供了更完整的政策控制,用戶可以使用IAM組織政策,來為機密虛擬機器定義特殊的存取權限,並且禁止在專案中使用非機密虛擬機器,另外,機密虛擬機器也可以使用外部的金鑰,以處理經加密的敏感檔案。


Advertisement

更多 iThome相關內容