分享热点新闻
打造优质自媒体!

谷歌将内存加密扩展到库本内特斯:基于AMD最新的EPYC处理器

谷歌云和AMD今年夏天推出了“机密计算”计划,该计划在内存和CPU之外的位置维护数据加密。该方案在AMD最新的EPYC处理器中使用了基于硬件的加密。

谷歌将内存加密扩展到库本内特斯:基于AMD最新的EPYC处理器 科学快报 第1张

合作伙伴本周表示,他们正在扩展密云计算计划,通过谷歌的库本内特引擎覆盖运行在库本内特集群上的工作负载。这些GKE节点将在即将发布的测试版中提供。周二(9月8日,日)谷歌也公布了7月份发布的机密虚拟机完整列表。

谷歌云还表示,将把对保密计算的支持从AMD扩展到一系列数据中心处理器。在这两种情况下,价值主张都是在处理数据时能够加密“正在使用”的数据。

像秘密虚拟机一样,秘密库本内斯节点基于AMD最新的EPYC处理器,该处理器在其Zen 2 Core架构中集成了基于硬件的加密。根据谷歌(Nasdaq: googl)的说法,运行受保护节点的集群会自动强制使用机密虚拟机。秘密节点在EPYC处理器的“安全加密虚拟化”功能中使用内存加密。

合作伙伴表示,在谷歌云上运行的机密虚拟机可以增加到240个虚拟CPU和896 GB的内存。AMD还推出了基于7纳米工艺技术的最新EPYC处理器,作为将应用和数据迁移到云的平台。

基于硬件的安全方法使用“信任根”方法,其中加密密钥用于保护功能。AMD表示,这些密钥是在芯片上管理的,也就是说只有用户可以查看。

该体系结构使用虚拟密钥加密内存,然后安全处理器将密钥映射到内存中运行的虚拟机。虚拟机管理程序无法访问加密的内存,“来宾”操作系统选择可以共享的数据。

与此同时,谷歌云表示,其机密节点将在其即将推出的库本内特斯引擎版本中发布测试版。

谷歌首席互联网沟通者温顿CERF说:“我们相信,云计算的未来将越来越多地转向私人加密服务。”

瑟夫补充道:“在处理数据时,没有简单的加密解决方案。”因此,它促进了机密计算计划的发展,因为它对客户和数据中心之间以及静态和静态“使用中”的数据进行加密。

现在,机密的虚拟机模型已经应用于基于容器的工作负载,可以加密内存和CPU之外的其他位置的数据。瑟夫解释道:“内存控制器使用谷歌无法访问的嵌入式硬件密钥对CPU边界内的数据进行解密。”

随着企业微服务的兴起,隔离应用程序容器资源和依赖关系是最初的挑战。谷歌和AMD押注于增加一层数据处理安全,这将推动云提供商的私人加密云服务战略。

内存加密将进一步隔离工作负载,并将租户与云基础架构隔离开来。“我们的目标是确保功能独立于我们使用的硬件,”瑟夫说。因此,谷歌与其他CPU供应商合作,将其对机密计算的支持扩展到GPU、张量处理单元和FPGA。

Google Cloud是Linux基金会于2019年10月成立的机密计算联盟的创始成员之一。其他成员包括阿里巴巴,阿姆、华为,英特尔,微软和IBM的红帽部门。

评论 抢沙发

7 + 9 =
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址