[新科技速遞][Google][機密虛擬機器 Confidential VM]
新科技速遞
隨著容器技術起飛,各個雲服務平台推出本身的代管服務。Google推出了毋須配置,自然變成Container的Cloud Run,另一項則是代理協調技術Kubernetes的Anthos包含了Google Kubernetes Engine (GKE),以建立混合雲。
新冠肺炎下,美國三大公有雲收入錄得高速增長。以美國市場計,AWS仍持有32%市佔率,Azure則為18%,第三位的Google約只有8%。 雲原生的跨雲技術Anthos成為Google後來居上的最大寄望。
7月14日揭幕的Google雲端 Next OnAir 用戶大會,為期 9 星期,同時也公佈跨雲的數據分析BigQuery Omni和安全方案。
較早前,Google的Anthos獲美國國防部採用,以建立跨雲管理平台,偵察網絡入侵並即時作出反制;為Google跨雲技術打下強心計。Next 大會上,Google宣佈獲得Verizon、雷諾、霍士體育、德意志銀行等新客戶。
Anthos雲端服務可運算部署不同公有雲,如此一來,毋須花大量時間和金錢,不同雲端之間抄寫數據,就地分析數據。
跨雲大數據分析
BigQuery Omni處理跨雲端平台數據分析,由於數據為數碼轉型的重要資產,可是數據通常分別儲存在內部系統、專用系統,或多雲平台。BigQuery Omni可利用 BigQuery 處理儲存在 Google 雲端、Amazon Web Services(AWS)及,也即將推出支援Azure等不同平台。AWS的S3上擁有不少分析大數據數據湖,屬於Google目標客戶,AWS成為Anthos首個支援的公有雲。
BigQuery為Google無伺服器的分析服務,可實時分析大量非結構數據,內建機器學習,支援標凖SQL,同時執行無限DML。
Google 雲端工程總經理及副總裁 Debanjan Saha表示,據Gartner的調查,超過8成使用公有雲的企業,有多於一個雲服務供應商,數據分散;只要透過 Anthos,客戶毋須轉移或複製數據資料庫,即以 BigQuery Omni 直接分析分別儲存於 Google 雲端、AWS 及 Azure 的數據,一站式數據分析。
Saha 表示:「在不同雲端平台上轉移數據是繁複且昂貴過程,Google積極優化多雲服務,無論客戶使用哪一個公有雲,均能使用 Google 雲端產品和技術。BigQuery Omni 為企業提供所需的開放式環境,毋須額外支付從其他雲端平台,搬遷數據至 Google 雲端的昂貴出站費,打破數據孤島。」
杜絕記憶體竊秘
企業轉移至雲端,處理及保護敏感資料,往往是一大考慮。Google推出了機密運算(Confidential Computing),可加密所有使用中數據。機密運算的環境,數據除了進入中央處理器(CPU)內處理時解密,數據均一直保持加密狀態,包括正存放記憶體等待進入CPU,直至進入後才解密。
黑客一個技巧是以Memory Dump,或直接從記憶體,讀取得沒加密的數據,只要取得機器控制權,就可以ProcDump或截聽記憶體,盗取記憶體內數據,再扔到遠端機器,甚至密碼亦無所遁形。
Google機密運算技術價值在於,黑客取得記憶體內數據,亦無從知悉內容,數據經加密後,除非同時獲得解密金鑰,否則也得物無所用。
Google機密運算的首項產品是「機密虛擬機器」(Confidential VM),正是能將記憶體數據加密。據Google的示範,加密並無對運算效率,構成太大負擔。Google 雲端已採用隔離和沙盒技術,作為雲端基礎架構的一部分,機密虛擬機器進一步確保多租戶架構安全。
機密虛擬機器乃採用AMD 處理器的Secure Memory Encryption (SME),以第二代 AMD EPYC 處理器所支援的安全加密虛擬化環境。Google 雲端為首個主要雲端平台供應商提供此項性能,機密虛擬機器也毋需修改編碼。英特爾亦宣佈會推出類似虛擬平台加密技術,估計其他公有雲更換處理器後,也會提供類似服務。
Google 雲端安全總經理及副總裁 Sunil Potti 說:「來自不同業界的客戶正在摸索雲端平台上複雜的合規和私隱安全問題,尤其是受規管行業如金融服務機構、醫療保健公司和政府機構等。當這類客戶採用最新的雲端技術時,往往會遇到數據私隱和合規標準的問題。」