在7月的时候,Google的机密虚拟机服务才进入Beta测试版,现在Google发布机密运算服务新进展,除了机密虚拟机服务正式上线之外,也发布了第2款机密运算服务—机密GKE节点,让企业可以在GKE执行容器工作负载时,获得更全面的加密保护。
机密运算是在进行计算的时候,利用加密技术加密处理中的资料,在CPU之外的任何地方,包括存储在硬盘与内存的资料都会加密,以确保企业的资料不会暴露给云计算供应商、内部人员或是任意第三方。Google现在除了机密虚拟机之外,还提供机密GKE节点,将会从GKE 1.18版本的Beta测试版开始,在Kubernetes集群服务增加机密选项。
不少企业把Kubernetes当作是构建云计算应用程序的基础,但Google提到,在应用程序现代化的同时,除了提升可移植性,他们也希望容器化工作负载能够有更高等级的机密性。因此Google使用构建机密虚拟机的技术,打造新的机密GKE节点服务,利用AMD EPYC处理器所创建和管理的密钥,在内存中以专用的密钥加密资料。
用户可以通过配置,只使用机密虚拟机来配置机密GKE节点池,而且机密GKE节点也会自动强制在所有工作节点,使用机密虚拟机。机密GKE节点所使用的硬件内存加密技术,是来自AMD EPYC处理器的安全加密虚拟化功能,也就是说,机密节点上执行的工作负载,会在执行时进行加密,以确保资料的安全性。
在发布新的机密服务的同时,机密虚拟机服务也推出了正式版,并且加入了几项新功能。现在用户可以查看法遵审核报告,该报告包含AMD安全处理器固件完整性的详细日志,在首次启动虚拟机时,系统会创建完整性基准,并在重新启动时执行配对检查,用户可以利用这些日志自定义操作或是警示。
机密计算资源也提供了更完整的政策控制,用户可以使用IAM组织政策,来为机密虚拟机定义特殊的访问权限,并且禁止在项目中使用非机密虚拟机,另外,机密虚拟机也可以使用外部的密钥,以处理经加密的敏感文件。