機密運算讓使用者無須擔心隱私問題 

作者 : Sunil Potti、Eyal Manor,作者依序為Google Cloud 雲端安全總經理暨副總裁、應用程式現代化平台工程部門總經理暨副總裁

Google認為雲端運算服務在未來會逐漸走向私人加密服務,讓使用者能夠確信所屬機構內部人員或雲端服務供應商無法解讀資料內容,無須擔心隱私問題。機密運算能夠實現這樣的願景…

對Google Cloud使用者而言,他們能完全掌控自己的資料,Google Cloud的分層式安全防護機制可以主動保護資料,讓使用者自行控管。事實上,Google認為雲端運算服務在未來會逐漸走向私人加密服務,讓使用者能夠確信所屬機構內部人員或雲端服務供應商無法解讀資料內容,無須擔心隱私問題。機密運算能夠實現這樣的願景,因為不只記憶體中的資料會在處理過程中維持加密狀態,CPU外部的資料也是如此。

2020年Google Cloud Next大會:OnAir於今年7月展開,Google Cloud在大會首日宣佈了機密VM(Confidential VMs)即將推出Beta版的消息,這是Google Cloud機密運算產品組合中的第一項產品。如今,Google Cloud仍在努力擴充機密運算產品組合,以下兩則最新消息可以說明Google Cloud願景:

  • 首先,機密GKE節點(Confidential GKE Nodes)是Google Cloud機密運算產品組合中的第二位成員。這項產品即將推出Beta版,並從GKE 1.18版開始支援。如果企業想要搭配使用Kubernetes叢集與Google Kubernetes Engine (GKE),這項產品就能提供更多機密工作負載處理選項。
  • Google Cloud正在準備正式發行機密VM。所有Google Cloud客戶在未來幾週內即可開始使用這項技術,當中包含我們在Beta版中新增的功能。

將機密運算導入容器工作負載

隨著客戶紛紛著手翻新現有應用程式及建構雲端原生應用程式,GKE逐漸成為客戶經常使用的基礎產品。應用程式現代化也有可能促成安全防護機制的翻新,在打造機密運算產品組合的同時,Google Cloud希望為容器化工作負載環境提供更高階的機密性和可攜性。機密GKE節點的建構技術基礎與機密VM相同,可讓你透過節點專屬的金鑰對記憶體中的資料進行加密,AMD EPYC處理器則會負責產生及代管這些金鑰。

以技術層面來看,機密GKE節點可讓你對GKE叢集進行設定,僅部署具有機密VM功能的節點集區。如果叢集啟用了機密GKE節點,系統就會自動強制規定所有工作站節點均須使用機密VM。AMD EPYC處理器使用AMD安全加密虛擬化(Secure Encrypted Virtualization,SEV)功能,GKE機密節點則會使用這項功能提供的硬體記憶體加密機制。也就是說,如果工作負載是在機密節點中運作,使用中的資料就會經過加密。

機密VM即將正式發行

Google Cloud採用多項隔離與沙盒技術,確保多用戶群架構安全無虞。機密VM可讓安全性更上一層樓,因為這項技術會對記憶體進行加密,進一步將不同的工作負載和用戶群區隔開,同時與雲端基礎架構分割。以隨即轉移和新建的工作負載來說,機密VM提供了一個相當易於使用的案選擇,可妥善保護Google Compute Engine中的工作負載記憶體。

Thales Digital Factory副總裁Raphaël de Cormis表示:「對企業來說,能夠透過機密運算技術將雲端中的機密資料加密是非常重要的優勢,因為這樣就能妥善保護靜態資料、傳輸中的資料,甚至是使用中的資料。道理十分簡單,我們可以透過易於使用的套件部署Google Cloud機密VM,進而取得高規格的隔離機制,讓我們的客戶以順暢且符合成本效益的方式遵守相關法規和隱私權規範。」

機密VM可以為要求最嚴苛的運算工作提供卓越效能,並透過每個VM執行個體專屬的金鑰對VM記憶體進行加密,AMD EPYC處理器內嵌的AMD安全處理器則會負責產生及代管這些金鑰。機密VM可擴充至240個vCPU與896 GiB記憶體,而且運作時不會讓效能大打折扣。

AMD資料中心產業體系與應用工程全球副總裁Raghu Nambiar表示:「安全加密虛擬化是AMD EPYC處理器的進階安全性功能,我們相當期待這項功能可以從Google Cloud的機密VM拓展至機密GKE節點。只要搭配運用AMD EPYC處理器和Google Cloud的機密運算產品組合,客戶資料就能安全無虞,進而放心將應用程式遷移至雲端,而且過程毫不費力。」

以基礎技術為建構要素,打造全新的機密VM功能:

1.滿足法規遵循需求的稽核報告。AMD Secure Processor Firmware會在機密VM執行個體中產生金鑰,而與其完整性有關的詳細記錄檔現已納入稽核報告。Google Cloud會在你初次啟動VM時建立一個完整性基準,並在VM每次重新啟動時加以比對,另外,也可以依據這些記錄檔自訂動作或快訊。

稽核報告。

2.全新的機密運算資源政策控管機制。現在可以設定用於身分與存取權管理的機構政策(IAM Org Policy),藉此定義機密VM專屬的存取權限。另外,也能停用在專案中運作的任何非機密VM。套用這項政策之後,任何嘗試在該項專案中啟動非機密VM的動作都會失敗。隨著搭載機密運算技術的服務日漸增加,只要善用這些身分與存取權管理政策,就能輕鬆控管要在專案、資料夾或機構中啟用哪些機密運算資源。

機密VM的政策控管機制。

3.與其他強制執行機制相互整合。可以搭配使用共用虛擬私人雲端、機構政策限制和防火牆規則,以確保機密VM只能與其他機密VM互動(無論機密VM是否隸屬於同一項專案)。另外,也能透過VPC Service Controls定義機密VM的GCP資源範圍。舉例來說,可以將Google Cloud Storage值區設為僅供機密VM的服務帳戶存取。

4.透過機密VM安全地共用密鑰。使用機密VM時,可能需要處理透過外部金鑰加密的敏感檔案。在此情況下,必須透過機密VM共用檔案密文和加密金鑰。為確保共用這類密鑰的程序安全無虞,機密VM可能會使用虛擬信任平台模組(vTPM),則能透過go-tpm開放原始碼資料庫中的API將密鑰與機密VM的vTPM相互繫結。

足以扭轉局勢的技術

轉型技術可以解決諸多問題,讓我們的生活更加美好。機密運算可以加速推動數位轉型,徹底改變企業在雲端環境中處理資料的方式,同時保有機密性和隱私性。Google Cloud迫不及待想瞭解這項技術可以為各個企業帶來的可能性。

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論