瞄準敏感客戶,Google Cloud 推出高加密重量級產品「機密運算虛擬機」

Google 表示機密運算虛擬機器採用了開源框架 Asylo,其機密運算環境能讓資料在記憶體,以及 CPU 以外的地方維持加密狀態,Google 還額外在雲端架構中部署眾多隔離和沙盒技術,作為協助維護客戶基礎架構安全性的一部分。
評論
Photo Credit: Shutterstock/ 達志影像
Photo Credit: Shutterstock/ 達志影像
評論

本文來自 Google 提供之資料,並經 INSIDE 編審後刊載。

產業界普遍都認同雲端化是數位轉型的重要一步,但另一方面,也有很多公司、組織擔心自己的系統、資料上雲後,資料容易遭外洩或是被監視的風險。

身為三大公有雲之一,Google Cloud 其實蠻清楚有很多企業,特別是金融等受到高度管制的產業都有這種疑慮,他們也認為深信雲端運算在未來會逐漸轉型為私有、加密服務,因此推出了專為高度敏感企業的機密運算虛擬機器 (Confidential VMs) Beta 測試版

Google 表示機密運算虛擬機器採用了機密運算開源框架 Asylo,其機密運算環境能讓資料在記憶體,以及中央處理器(CPU)以外的地方維持加密狀態,並且 Google 還額外在雲端架構中部署眾多隔離和沙盒技術,作為協助維護客戶基礎架構安全性的一部分。除此之外,Google 的機密運算虛擬機器還可以更進一步提供記憶體加密,讓使用者可以進而在雲端隔離工作負載,詳細功能如下:

  • 機密性大突破:客戶現在可以確保自己雲端中最敏感的資料即使在處理中,仍能維持機密性。機密運算虛擬機器使用第二代 AMD EPYCTM CPU 支持的安全加密虛擬化。使用者的資料即使在使用、索引、查詢或訓練中,仍能維持加密的狀態。加密金鑰於硬體內產生,每台虛擬機器皆不同且不可匯出。 
  • 創新升級:機密運算可以實現以前無法執行的運算情境。組織現在可以分享機密資料集,並在雲端進行研究合作,同時還能保有機密性。 
  • 工作負載平移的機密性:Google 宣稱轉移至機密運算虛擬機器的過程完全無縫—現在虛擬機器上執行的所有 GCP 工作負載,都可以在機密運算虛擬機器上執行。只需要透過一個核取方塊就可以簡單達成。 
  • 進階威脅防護:機密運算建立在受防護的虛擬機器(Shieded VMs) 保護下,可 抵禦 rootkit 與 bootkit 攻擊,協助確保使用者選擇的機密運算虛擬機器上的操作系統完整性。 

機密運算虛擬機器是在第二代 AMD EPYCTM 處理器技術支援的 N2D 系列虛擬機器上執行。透過使用 AMD 安全加密虛擬化(Secure Encrypted Virtualization,SEV),同時透過 AMD EPYC 處理器產生和管理每台虛擬機器專用的金鑰來維持所有虛擬機器記憶體的加密狀態。這些金鑰是在虛擬機器建立期間由 AMD 平台安全處理器(PSP)產生並且僅存於 PSP 內,因此 Google 或在主機上執行的任何虛擬機器都無法使用。 

編註:事實上三大公有雲都正在積極推出機密運算或是類似概念的產品,像微軟 Azure 是用 Intel SGX,而 AWS 雖然不標榜自己是機密運算但主打「適用美國情報體系的雲」。

責任編輯:Chris
核稿編輯:Anny