Google Cloud推出“机密VM”以保护使用中的数据

blog

Google Cloud推出“机密VM”以保护使用中的数据

目前处于测试阶段的机密虚拟机将使Google Cloud客户在使用数据时对其进行加密。

Google Cloud今天宣布了一项名为“机密虚拟机”的机密计算功能,该功能可在处理数据时对数据进行加密。机密虚拟机是Google Cloud机密计算产品系列中的第一款产品,现已提供Beta版。
 

Google Cloud

虽然Google Cloud已经对静态数据和传输中的数据进行了加密,但是必须解密信息以供组织使用。拥有大量云数据的企业希望查询和索引其数据或使用它来训练机器学习模型。大多数受监管行业(包括金融,医疗保健和政府部门)担心在云中保护其数据。 

除了Google已经在其云基础架构中使用的隔离和沙箱功能外,其机密VM还包括内存加密,因此企业可以进一步隔离云中的工作负载。Google Cloud在博客文章中解释说,机密计算环境将数据加密保存在内存中以及“中央处理单元(CPU)之外的其他位置”中。

该帖子说: “在使用,索引,查询或训练数据时,您的数据将保持加密状态。” “加密密钥是在每个VM的硬件中生成的,并且不可导出。”  

机密VM在第二代AMD Epyc处理器上运行,并利用称为“安全加密虚拟化”或SEV的功能。这可实现高性能,同时使用由Epyc CPU生成和管理的专用每VM密钥保持VM内存加密。这些密钥是由AMD处理器在每个VM的创建过程中生成的,并且仅位于VM内,因此Google和其他运行在同一主机上的VM无法访问它们。 

Google Cloud安全总经理兼副总裁Sunil Potti表示:“我们实施这项技术的方式可在使用中提供实时加密,因此即使在处理过程中,客户也可以确保对其[最敏感数据]的机密性。在新闻发布会上说。

官员说,机密VM建立在Shielded VM上,以进一步强化OS映像并确认固件,内核二进制文件和驱动程序的完整性。Potti说,就安全性而言,屏蔽虚拟机是机密虚拟机的先驱。这项新技术建立在Shielded VM提供的针对rootkit和bootkit的保护之上,以确保操作系统的完整性。

Google与AMD合作,通过添加对新OSS驱动程序(NVMe和gVNIC)的支持来确保内存加密不会影响性能,以比旧协议更高的吞吐量处理存储和网络流量。机密VM的使用案例包括在不影响数据机密性的情况下协作处理敏感数据集并进行研究。

该公司表示,当前在VM中运行的所有Google Cloud Platform工作负载也可以作为机密VM运行。企业只需要选中一个复选框即可启用它。

标签:
分类: