扩展Google Cloud的机密计算产品组合

无论您如何使用Google Cloud服务，您的数据都是您的数据。我们的分层安全方法可主动保护您的数据，并让您可以随心所欲地进行控制。事实上，在谷歌，我们相信计算的未来将越来越多地转向私人加密服务，在这些服务中，用户可以确信他们的数据不会暴露给云提供商或他们自己的内部人员。机密计算通过在处理数据的同时将数据加密在内存和CPU之外的其他位置，从而使这一未来成为可能。

今年7月，在Google Cloud Next‘20：OnAir的开幕当天，我们宣布了机密虚拟机的测试版，这是我们机密计算产品组合中的第一个产品。今天，我们正在扩展我们的Google Cloud Confidential Computing产品组合，并通过两项宣布来实现我们的愿景：

首先，机密计算产品组合中的第二个产品--机密GKE节点将很快推出测试版，从GKE 1.18版本开始。当组织想要通过Google Kubernetes Engine(GKE)使用Kubernetes集群时，这为他们提供了针对机密工作负载的额外选择。

我们还将全面提供机密虚拟机。这一功能将在未来几周向所有Google Cloud客户开放，并将包括我们在测试版期间添加的新功能。

随着我们的客户开始更新现有应用程序并构建云本地应用程序，GKE日益成为他们使用的基础。应用程序现代化还提供了实现安全性现代化的机会，当我们考虑构建我们的机密计算产品组合时，我们希望为容器化工作负载提供更高级别的机密性和便携性。Google Cloud Confidential GKE节点构建在与机密VM相同的技术基础上，并允许您使用由AMD EPYC处理器生成和管理的特定于节点的专用密钥在内存中对数据进行加密。在幕后，机密GKE节点将使您能够将GKE群集配置为仅部署底层具有机密VM功能的节点池。启用保密GKE节点的群集将自动强制对所有工作节点使用保密虚拟机。GKE保密节点将使用由AMD EPYC™处理器使用的AMD安全加密虚拟化功能支持的硬件内存加密，这意味着您在机密节点上运行的工作负载将被加密。

在Google Cloud中，我们采用了各种隔离和沙箱技术来帮助确保我们的多租户架构的安全。机密虚拟机将这一点提升到了一个新的水平，使用内存加密进一步将工作负载和租户彼此隔离，并将其与云基础架构隔离。Thales数字工厂副总裁拉斐尔·德·科米斯(Raphaël de Cormis)表示：“它为升降式和新创建的工作负载提供了一个易于使用的选项，以保护Google Compute Engine中工作负载的内存。对于企业来说，能够加密云中的敏感数据，无论是静态的、传输中的，还是现在通过机密计算使用的，这一能力都非常有吸引力。”在Google Compute Engine中，Thales数字工厂副总裁拉斐尔·德·科米斯(Raphaël de Cormis)说。“很简单，谷歌云的机密虚拟机以易于使用的软件包提供这种级别的隔离，这一事实将帮助我们的客户以无缝和经济高效的方式实现合规性和隐私性。”

机密虚拟机可为要求最苛刻的计算任务提供高性能，同时使用由嵌入AMD EPYC处理器中的AMD安全处理器生成和管理的专用每虚拟机实例密钥对虚拟机内存进行加密。机密虚拟机可以扩展到240个vCPU和896 GiB内存，并且可以在不显著降低性能的情况下正常使用。

“我们很高兴看到AMD EPYC处理器中的高级安全功能，安全加密虚拟化，从Google Cloud Confidential VM扩展到Confidential GKE节点，”AMD数据中心生态系统公司副总裁拉古·南比亚尔(Raghu Nbiar)说。“有了AMD EPYC处理器和谷歌云(Google Cloud)的机密计算产品组合，我们正在帮助确保客户数据的安全，这样他们就可以有信心轻松地将应用程序转移到云端。”

1.合规性审计报告。审核报告现在包括有关负责机密VM实例中密钥生成的AMD安全处理器固件完整性的详细日志。我们在您第一次启动虚拟机时建立完整性基准，并在每次重新启动虚拟机时与之匹配。您还可以根据这些日志设置自定义操作或警报。

2.新增机密计算资源策略控制。现在，您可以使用IAM组织策略来定义机密VM的特定访问权限。您还可以禁用项目中运行的任何非机密VM。一旦应用此策略，在该项目中启动非机密VM的任何尝试都将失败。随着我们扩展提供保密计算的服务，这些IAM策略将帮助您控制要在您的项目/文件夹或组织中启用哪些保密计算资源。

3.与其他执法机制整合。您可以组合使用共享VPC、组织策略约束和防火墙规则，以确保机密VM只能与其他机密VM交互，即使这些VM位于不同的项目中。此外，您可以使用vPC服务控制为机密虚拟机定义GCP资源边界。例如，您可以将Google云存储存储桶配置为只能由机密VM服务帐户访问。

4.与机密VM安全共享机密。使用保密VM时，您可能需要处理使用外部密钥加密的敏感文件。在这种情况下，需要与保密VM共享文件密文和加密密钥。为确保安全地共享此类机密，机密VM可以使用虚拟可信平台模块(VTPM)，并且通过Go-TPM开源库，您可以使用API将机密绑定到机密VM的vTPM。

变革性技术解决了让我们的生活更美好的问题。机密计算可以成为转变组织在云中处理数据的方式的催化剂，同时保护机密性和隐私。我们迫不及待地想看看这项技术将为您的组织带来的可能性。您可以立即开始使用保密虚拟机并注册，以便在机密GKE节点测试版可用时收到通知。