قابلیت جدید امنیتی در Google Cloud
بسیاری معتقدند گوگل با معرفی این قابلیت می تواند بازار ابرهای عمومی را به کلی تغییر دهد.
گوگل در آخرین رویداد مجازی که برگزار شد، برنامه جدید امنیتی خود را که مخصوص GCP است را با نام Confidential VMs یا ماشین های مجازی محرمانه معرفی کرد.
ایده پشت این برنامه بسیار ساده است: همانطور که ما داده های بیشتری را در کلاد قرار می دهیم، نه تنها باید آنها را هم در هنگام انتقال و هم در زمان ذخیره سازی در استوریج رمزگذاری کنیم بلکه در هنگام پردازش در حافظه نیز می بایست رمزگذاری شوند. این امر بخصوص در Public Cloud ها از اهمیت بیشتری برخوردار است.
احتمالا بوجود آمدن یک مشکل بزرگ در این رابطه ذهن شما را هم درگیر کرده است و آن هم این است که رمزگذاری و رمزگشایی در داخل و خارج حافظه به میزان زیادی قدرت پردازنده ها را می گیرد و کارایی سیستم را پایین می آورد. برای رفع این مشکل ماشین های مجازی محرمانه با تکیه بر نسل دوم پردازشگرهای AMD EPYC پا به عرصه می گذارند.
ماشین های مجازی محرمانه گوگل از این پردازشگر پرسرعت برای رمزگذاری حافظه استفاده می کنند و این در حالی است که همچنان کارایی سیستم افت چندانی نخواهد کرد.
نحوه عملکرد این روش اینگونه است که حافظه با استفاده از یک کلید که بصورت اختصاصی توسط این پردازشگر برای هر ماشین مجازی تولید شده است، قفل می شود. این کلیدها به نوبه خود در زمان ساخت این ماشین های مجازی محرمانه توسط پردازشگر در داخلشان نیز قرار می گیرد. این یعنی نه گوگل و نه هیچ ماشین مجازی دیگری در داخل آن سرور نمی توانند داده های یک ماشین دیگر در داخل حافظه را بخوانند.
با این وجود باید بدانید که به هر حال شما با استفاده از این قابلیت به یک میزان دچار افت کیفیت خواهید شد که میزان آن بستگی به برنامه شما و میزان داده ای که استفاده می کند، دارد. طبق آخرین بررسی که انجام شده شما می توانید انتظار افت ۱ تا ۶ درصدی را در کند شدن سیستم داشته باشید. برای مثال اگر از Nginx و Load balancer استفاده می کنید، افت شما بین ۱ تا ۴ درصد خواهد بود، در حالی که در Mysql در حدود ۵ درصد کند می شود. البته همچنان مهندسین گوگل و AMD در حال کار بر روی این قابلیت هستند تا میزان کارایی آن را افزایش دهند.
علاوه بر این قابلیت، برنامه نویسان گوگل عملکرد درایورهای استوریج (nvme) و شبکه (gVNIC) را نیز بهبود بخشیده اند که باعث افزایش throughput نسبت به پروتکل های قدیمی تر شده اند.
پروژه Confidential VMs در داخل پروژه Shielded VMs گوگل قرار گرفته است که از طریق پروسه hardening تمامی اجزای ماشین مجازی، ایمن شده و در مقابل حملات Rootkit و Bootkit محافظت می گردد. در حال حاضر شما می توانید از Shielded VMs برای سیستم عامل های زیر استفاده نمایید:
- Ubuntu ۱۸.۴
- Ubuntu 20.04
- Google Linux/Chrome OS
- Redhat Enterprise ۸.۲
همچنین گوگل در حال کار بر روی سیستم عامل های debian، centos و سایر نسخه های لینوکس، برای فعال شدن در Shielded VMs می باشد.
در حالی که پروژه ماشین های مجازی محرمانه در نسخه بتا عرضه شده است اما بسیار شروع امیدوارکننده ای داشته است، آن هم به عنوان اولین شرکتی که در کلاد، چنین سطح امنیتی را به ارمغان آورده است.
وقتی صحبت از سرویس های Public Cloud می گردد بندرت ویژگی ای پیدا می شود که بتوان گفت این سرویس بالاتر از سایر سرویس ها قرار می گیرد. اما اکنون گوگل با این قابلیت جدید، خود را به چنین جایگاهی نزدیک می بیند.
