谷歌云推出保密虚拟机

2020-07-14 20:05:43

“我们已经采用了各种隔离和沙盒技术作为我们云基础设施的一部分,以帮助确保我们的多租户架构的安全,”该公司在今天的声明中指出。“保密虚拟机通过提供内存加密将这一点提升到一个新的水平,以便您可以进一步隔离云中的工作负载。保密的虚拟机可以帮助我们所有的客户保护敏感数据,但我们认为这对那些受监管行业的人来说尤其有趣。“。

在后端,保密虚拟机利用AMD的安全加密虚拟化功能,该功能在其第二代EPYC CPU中可用。这样,数据在使用时将保持加密,实现这一点的加密密钥是在硬件中自动生成的,不能导出-因此,即使是谷歌也无法访问这些密钥。

想要将现有虚拟机迁移到机密虚拟机的开发人员只需点击几下即可完成。谷歌指出,它在其屏蔽的虚拟机之上建立了机密虚拟机,这些虚拟机已经提供了针对rootkit和其他攻击的保护。

AMD数据中心生态系统公司副总裁拉古·南比亚尔说:“借助内置的安全加密虚拟化,第二代AMD EPYC处理器提供了一种创新的基于硬件的安全功能,有助于保护虚拟化环境中的数据。对于N2D系列中的新Google Compute Engine Confidential VM,我们与Google合作,帮助客户保护数据并实现工作负载的性能。“。

最后一部分显然很重要,因为额外的加密和解密步骤至少会导致较小的性能损失。谷歌表示,它与AMD合作,并开发了新的开源驱动程序,以确保“机密虚拟机的性能指标与非机密虚拟机的性能指标接近。”至少根据谷歌自己到目前为止披露的基准,普通虚拟机和机密虚拟机的启动时间、内存读取和吞吐量性能几乎是相同的。