Google Cloud 和 AMD 于今年夏季推出了 機密計算計劃，該計劃在內存和 CPU 以外的其他位置維護數據加密。該方案在 AMD 最新的 EPYC 處理器中利用

Google Cloud 和 AMD 于今年夏季推出了 “機密計算”計劃，該計劃在內存和 CPU 以外的其他位置維護數據加密。該方案在 AMD 最新的 EPYC 處理器中利用了基于硬件的加密。

合作伙伴本周表示，他們正在擴展機密云計算計劃，以涵蓋通過 Google 的 Kubernetes Engine 在 Kubernetes 集群上運行的工作負載。這些 GKE 節點將在即將發布的 Beta 版本中提供。在周二(9 月 8 日)，Google 還宣布了 7 月份發布的機密虛擬機的全面上市。

谷歌云還表示，它將把對機密計算的支持范圍從 AMD 擴展到一系列數據中心處理器。在這兩種情況下，價值主張都是在處理數據時 “使用中”加密數據的能力。

與機密 VM 一樣，機密 Kubernetes 節點也基于 AMD 最新的 EPYC 處理器，該處理器在其 Zen 2 Core 架構中集成了基于硬件的加密。根據 Google(NASDAQ：GOOGL)的說法，運行受保護節點的群集會自動強制使用機密 VM。機密節點在 EPYC 處理器的 “安全加密虛擬化”功能內使用內存加密。

合作伙伴說，運行在 Google Cloud 中的機密 VM 可以增加到 240 個虛擬 CPU 和 896 GB 的內存。AMD還推廣其最新的基于 7 納米制程技術的 EPYC 處理器，作為將應用程序和數據遷移到云的平臺。

基于硬件的安全性方法使用 “信任根”方法，其中加密密鑰用于保護功能。AMD 表示，這些密鑰是在芯片上管理的，這意味著只有用戶才能查看它們。

該架構使用虛擬密鑰對內存進行加密，然后安全處理器將密鑰映射到內存中運行的 VM。系統管理程序無法訪問加密的內存，“來賓”操作系統選擇可以共享的數據。

同時，谷歌云表示其機密節點將在其即將發布的 Kubernetes 引擎版本中以 beta 形式發布。

谷歌首席互聯網傳播者溫頓 · 瑟夫(Vinton Cerf)說：“我們相信云計算的未來將越來越多地轉向私有加密服務。”

Cerf 補充說：“在處理數據時，沒有簡單的解決方案來對其進行加密。” 因此，促進了機密計算計劃的發展，因為它在客戶和數據中心之間 “使用中”以及在靜態和靜態時加密數據。

現在，機密 VM 模型已應用于基于容器的工作負載，可對內存中以及 CPU 外部其他位置的數據進行加密。Cerf 解釋說：“內存控制器使用 Google 不能訪問的嵌入式硬件密鑰在 CPU 邊界內解密數據。”

隨著企業微服務開始興起，隔離應用程序容器資源和依賴性是最初的挑戰。谷歌和 AMD 押注增加了一層數據處理安全性，將推動云供應商的私有加密云服務戰略。

內存加密將進一步隔離工作負載，同時還將租戶與云基礎架構隔離。“我們的目標是確保功能與我們使用的硬件無關，” Cerf 說。因此，Google 與其他 CPU 供應商合作，并將對機密計算的支持擴展到 GPU，Tensor 處理單元和 FPGA。

Google Cloud 是 Linux 基金會于 2019 年 10 月成立的機密計算聯盟的創始成員之一。其他成員包括阿里巴巴，Arm，華為，英特爾，微軟和 IBM 的 Red Hat 部門。

關鍵詞：