Google 在最近宣布了机密VM,这是一种新型虚拟机,它利用公司围绕机密计算的工作来确保数据不仅在静态时被加密,而且在存储时也被加密。
直到最近,Google像许多其他云提供商一样,提供了静态加密和传输加密,这意味着数据需要先解密才能进行处理。现在有了机密VM,客户可以在虚拟机中处理数据时对数据进行加密。机密VM是Google 在2018年推出的Shielded VM产品的改进版本,该产品使用户可以剥离大多数潜在脆弱的启动过程,这些启动过程在尝试创建新环境时会触发。此外,当通过AMD的第二代Epyc处理器处理敏感数据时,机密VM进一步增强了安全性,该处理器生成并管理保留在芯片上的加密密钥。这样,在对数据进行解密以进行处理期间,客户VM仍然无法访问Google Cloud Services。
Google公共信托服务产品经理Ryan Hurst在媒体上指出:我对在GCP中完成机密VM的工作感到非常兴奋。它将启用许多有趣的用例,我喜欢的一个简单用例是机密文档转换和OCR。结合e2e文档加密,将使敏感文档可以在云中进行处理,而云提供商不必直接访问文档和相关数据。
此外,Google与AMD紧密合作,以确保VM的内存加密不会干扰工作负载性能。在公告博客中,AMD数据中心生态系统公司副总裁Raghu Nambiar甚至表示,机密VM的性能在各种工作负载下显示出与标准N2D VM类似的高性能水平。
除了基于硬件的嵌入式内存加密之外,Google在Shielded VM之上构建了Confidential VMs,以强化客户的OS映像并验证固件,内核二进制文件和驱动程序的完整性。目前,Google提供了Ubuntu v18.04,Ubuntu 20.04,Container Optimized OS(COS v81)和RHEL 8.2等映像,并且正在与CentOS,Debian和其他发行商合作以提供其他机密OS映像。此外,已经在Google Cloud Platform上的VM中运行工作负载的客户将能够使用复选框将其转移到机密VM。
机密虚拟机是Google Cloud机密计算产品组合中的第一款产品。其他著名的云供应商,例如微软和亚马逊,已经开始了他们的机密计算方法。今年早些时候,Microsoft 发布了DCsv2系列VM,作为Azure机密计算产品的一部分,以实现全面可用性。而且,亚马逊去年在re:Invent 2019期间推出了Nitro Enclaves,现在可以预览。此外,Google和Microsoft都是机密计算联盟的成员,该联盟致力于与业界合作以提供更安全的计算基础架构。
星座研究公司分析师Holger Mueller:通过隐私工具保护智力资本对于知识经济中的企业至关重要。机密计算是这些策略之一。CxO始终需要权衡收益与成本因素。挑战在于如何为集成企业无缝地运行混合安全基础结构。
机密虚拟机现已提供Beta版,其定价基于客户为虚拟机选择的计算机类型,永久磁盘和其他资源的使用情况。