/ 中存储网

Google推出面向云用户的新的“机密”虚拟机层

2020-07-17 02:35:59 来源:中存储

Google公司今天宣布了面向云用户的新的“机密”虚拟机层,以确保其数据在使用时保持加密状态。

新的机密虚拟机在9月8日到9月8日举行的Google Cloud Next OnAir在线会议上进行了详细介绍,现已提供beta测试模式。

它们是Google新的机密计算服务组合中的第一款产品。机密计算是一项新技术,可以在内存中处理数据时对数据进行加密,而不会将其暴露给计算机系统的其他部分。

Google Cloud已经对静态数据和传输中的数据进行了加密,但是以前,在处理信息时始终必须对其进行解密,这通常被视为数据加密领域的明显弱点。

首席产品经理Nelly Porter,工程总监Gilad Golan和首席安全产品营销经理Sam Lugani在博客中写道: “我们已经将各种隔离和沙盒技术作为我们云基础架构的一部分,以帮助确保多租户架构的安全  。” “机密虚拟机通过提供内存加密将其提升到一个新的水平,以便您可以进一步隔离云中的工作负载。”

Google的机密VM背后的技术部分基于与机密计算协会的合作,该协会是一个行业组织,致力于推广“ 可信执行环境 ” 的概念。TEE是计算机芯片的安全区域,该区域对加载在其中的数据和代码进行加密,这意味着处理器的其他部分无法访问此信息。

谷歌表示,其机密VM在由Advanced Micro Devices Inc.的第二代EPYC处理器提供动力的N2D系列虚拟机上运行,​​该处理器具有安全加密虚拟化技术,可以将VM与运行它们的虚拟机监控程序软件隔离。

“使用AMD SEV功能,机密VM可以为最苛刻的计算任务提供高性能,同时使用由AMD EPYC处理器生成和管理的专用每VM实例密钥对VM内存进行加密,” Porter,Golan和Lugani解释说。 。“这些密钥是由AMD安全处理器在虚拟机创建期间生成的,并且仅驻留在其中,从而使Google或主机上运行的任何虚拟机均无法使用它们。”

谷歌表示,它与AMD的云解决方案工程团队紧密合作,以确保新VM的内存加密功能不会对工作负载性能产生任何负面影响。为了确保这一点,Google添加了对新OSS驱动程序的支持,这些OSS驱动程序以比旧协议更高的吞吐量处理存储和网络流量,确保机密VM的性能几乎与常规虚拟机相同。

AMD数据中心生态系统公司副总裁Raghu Nambiar表示:“对于N2D系列中的新型Google Compute Engine机密虚拟机,我们与Google合作,以帮助客户保护其数据并实现其工作负载的性能。”

谷歌表示,其机密虚拟机确保无论数据用于分析工作负载,查询还是训练人工智能模型,数据都保持加密状态。该公司表示,这还将启用以前无法实现的新计算方案。Google补充说,最重要的是,组织现在可以共享机密数据集并在云中进行研究合作,同时保留机密性。

新的虚拟机可以帮助满足任何使用敏感数据的公司的需求,但是Google表示,对于从事金融等受监管行业工作的客户来说,它们应该特别有趣。

JP Morgan Chase&Co.的董事Morgan Akers说:“在JP Morgan Chase,保护数据是我们的最高优先事项。机密计算是一种新兴技术,我们很高兴将其作为数据保护策略的一部分加以探索。”