作者/FredericLardinois翻译/周禹涵在GoogleCloudNext'20大会上,谷歌云推出了一款“可保密虚拟机”(ConfidentialVMs)。这种新型的虚拟机可以利用谷歌的加密计算,实现对静止状态和内存内数据的保密。
在7月14日的发布会上,谷歌表示,为保证我们的多租户架构的安全性,我们在云基础设施中应用了一系列隔离和沙盒技术,这将把保密虚拟机的内存加密安全性提升到一个新高度。这样一来,谷歌云将在保护用户敏感数据的同时,进一步隔离用户使用虚拟机系统时的工作负载。我们认为这个特性对那些管制产业来说是很有价值的。在后端,机密虚拟机使用了基于AMD二代霄龙处理器的安全加密虚拟化技术,实现了使用状态下数据的加密。密钥由CPU可信执行环境生成且无法导出,即便是谷歌自身也无法得知密钥。
只需轻松几步,开发人员就可以将现有虚拟机换成机密虚拟机。此外,谷歌提到他们已经推出虚拟机的加固服务项目ShieldedVMs,能在root软件和其他漏洞攻击下保护系统。AMD\n数据中心生态系统的副总裁RaghuNambiar\n表示:“AMD二代霄龙处理器内置安全加密虚拟化技术,这种基于硬件的安全性创新有助于在虚拟环境中保护数据。在与谷歌合作开发的N2D系列最新版谷歌计算引擎机密虚拟机中,我们希望在做到保护用户隐私的同时提高运行效率。”最后一句话举足轻重,因为在传统方案里,加密和解密技术往往意味着牺牲性能。但谷歌表示,他们与AMD合作开发的开源的新驱动程序能使“机密虚拟机的性能表现与可与常规虚拟机相近”,性能损失低到几乎可以忽略不计。根据目前已公开的情报,谷歌保密虚拟机的启动时间、内存读写表现与一般虚拟机无异。基于对于TEE技术将在多平台上蓬勃发展的判断,Phala\n协议在设计初期就抽象了SGX或SEV协议,并从SEV第一代协议开始持续追踪进展。目前,Google云平台对AMD的信心基于\nSEV第二代和第三代标准,预计将在第三代SEV商用性上有所突破。因此,Phala协议将会兼容DEV-SNP标准,并于2020年起支持AMD芯片的TEE协议。届时,支持多TEE标准的隐私计算云将成为下一代计算领域的热点话题。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。