與機密VM一樣，機密Kubernetes節點也基于AMD最新的EPYC處理器，該處理器在其Zen 2 Core架構中集成了基于硬件的加密。根據Google(NASDAQ：GOOGL)的說法，運行受保護節點的群集會自動強制使用機密VM。機

Google Cloud和AMD于今年夏季推出了“機密計算”計劃，該計劃在內存和CPU以外的其他位置維護數據加密。該方案在AMD最新的EPYC處理器中利用了基于硬件的加密。

合作伙伴本周表示，他們正在擴展機密云計算計劃，以涵蓋通過Google的Kubernetes Engine在Kubernetes集群上運行的工作負載。這些GKE節點將在即將發布的Beta版本中提供。在周二(9月8日)，Google還宣布了7月份發布的機密虛擬機的全面上市。

谷歌云還表示，它將把對機密計算的支持范圍從AMD擴展到一系列數據中心處理器。在這兩種情況下，價值主張都是在處理數據時“使用中”加密數據的能力。

與機密VM一樣，機密Kubernetes節點也基于AMD最新的EPYC處理器，該處理器在其Zen 2 Core架構中集成了基于硬件的加密。根據Google(NASDAQ：GOOGL)的說法，運行受保護節點的群集會自動強制使用機密VM。機密節點在EPYC處理器的“安全加密虛擬化”功能內使用內存加密。

合作伙伴說，運行在Google Cloud中的機密VM可以增加到240個虛擬CPU和896 GB的內存。AMD(納斯達克股票代碼：AMD)還推廣其最新的基于7納米制程技術的EPYC處理器，作為將應用程序和數據遷移到云的平臺。

基于硬件的安全性方法使用“信任根”方法，其中加密密鑰用于保護功能。AMD表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。

該架構使用虛擬密鑰對內存進行加密，然后安全處理器將密鑰映射到內存中運行的VM。系統管理程序無法訪問加密的內存，“來賓”操作系統選擇可以共享的數據。

同時，谷歌云表示其機密節點將在其即將發布的Kubernetes引擎版本中以beta形式發布。

谷歌首席互聯網傳播者溫頓·瑟夫(Vinton Cerf)說：“我們相信云計算的未來將越來越多地轉向私有加密服務。”

Cerf補充說：“在處理數據時，沒有簡單的解決方案來對其進行加密。” 因此，促進了機密計算計劃的發展，因為它在客戶和數據中心之間“使用中”以及在靜態和靜態時加密數據。

現在，機密VM模型已應用于基于容器的工作負載，可對內存中以及CPU外部其他位置的數據進行加密。Cerf解釋說：“內存控制器使用Google不能訪問的嵌入式硬件密鑰在CPU邊界內解密數據。”

隨著企業微服務開始興起，隔離應用程序容器資源和依賴性是最初的挑戰。谷歌和AMD押注增加了一層數據處理安全性，將推動云供應商的私有加密云服務戰略。

內存加密將進一步隔離工作負載，同時還將租戶與云基礎架構隔離。“我們的目標是確保功能與我們使用的硬件無關，” Cerf說。因此，Google與其他CPU供應商合作，并將對機密計算的支持擴展到GPU，Tensor處理單元和FPGA。

Google Cloud是Linux基金會于2019年10月成立的機密計算聯盟的創始成員之一。其他成員包括阿里巴巴，Arm，華為，英特爾，微軟和IBM的Red Hat部門。

關鍵詞：