Google Cloud verschlüsselt Daten zwar standardmässig bei der Übertragung, doch Kundendaten müssen für die Verarbeitung entschlüsselt werden. Mittels Confidential Computing sollen Daten nun direkt während der Verarbeitung verschlüsselt werden. Um dies möglich zu machen, werden in Confidential Computing-Umgebungen Daten im Speicher und an anderen Orten ausserhalb der Zentraleinheit (CPU) verschlüsselt.
Google hat dazu nun Confidential VMs lanciert. Zunächst als Beta verfügbar, handelt es sich dabei um das erste Produkt im Confidential Computing-Portfolio von
Google Cloud. "Wir setzen bereits eine Vielzahl von Isolations- und Sandboxing-Techniken als Teil unserer Cloud-Infrastruktur ein, um unsere Multi-Tenant-Architektur sicher zu machen. Vertrauliche VMs bringen dies auf die nächste Stufe, indem sie Speicherverschlüsselung bieten, so dass Sie Ihre Workloads in der Cloud weiter isolieren können",
schreibt Google in einem Blog-Post. "Vertrauliche VMs können allen unseren Kunden helfen, sensible Daten zu schützen, aber wir denken, dass dies besonders für diejenigen in regulierten Branchen interessant sein wird."
Mit Confidential VMs können Kunden also Daten verschlüsseln, während sie in einer virtuellen Maschine verarbeitet werden. Die vertraulichen VMs sind eine Weiterentwicklung von Googles Angebot Shielded VMs, das 2018 eingeführt wurde und es den Benutzern ermöglichte, die meisten der potenziell anfälligen Startprozesse zu entfernen, die beim Versuch, eine neue Umgebung zu erstellen, ausgelöst werden.
Google arbeitete bei der Entwicklung eng mit AMD zusammen, um sicherzustellen, dass die Speicherverschlüsselung von VMs die Workload-Leistung nicht beeinträchtigt. Raghu Nambiar, Corporate Vice President, Data Center Ecosystem,
AMD, hält sogar fest, dass die Leistung von vertraulichen VMs bei verschiedenen Arbeitslasten ähnlich hoch ist wie die von Standard-N2D-VMs.
Neben der hardwarebasierten Inline-Speicherverschlüsselung baute
Google vertrauliche VMs auf Shielded VMs auf, um Betriebssystem-Images von Kunden zu härten und die Integrität der Firmware, Kernel-Binärdateien und Treiber zu überprüfen. Derzeit bietet Google Images wie Ubuntu v18.04, Ubuntu 20.04, Container Optimized OS (COS v81) und RHEL 8.2 an - und arbeitet mit CentOS, Debian und anderen Distributoren zusammen, um zusätzliche vertrauliche Betriebssystem-Images anzubieten. Darüber hinaus können Kunden, die bereits Arbeitslasten in einer VM auf der Google Cloud Platform ausführen, diese mit Hilfe eines Kontrollkästchens auf eine vertrauliche VM umstellen.
(swe)
