【创科广场】Google推跨云分析技术 机密运算加密记忆体

2020-07-15 08:31
随着容器技术起飞,各个云服务平台推出本身的代管服务。Google推出了毋须配置,自然变成Container的Cloud Run,另一项则是代理协调技术Kubernetes的Anthos包含了Google Kubernetes Engine (GKE),以建立混合云。

新冠肺炎下,美国三大公有云收入录得高速增长。以美国市场计,AWS仍持有32%市占率,Azure则为18%,第三位的Google约只有8%。云原生的跨云技术Anthos成为Google后来居上的最大寄望。

7月14日揭幕的Google云端Next OnAir用户大会,为期9星期,同时也公布跨云的数据分析BigQuery Omni和安全方案。

较早前,Google的Anthos获美国国防部采用,以建立跨云管理平台,侦察网络入侵并即时作出反制;为Google跨云技术打下强心计。Next大会上,Google宣布获得Verizon、雷诺、霍士体育、德意志银行等新客户。

Anthos云端服务可运算部署不同公有云,如此一来,毋须花大量时间和金钱,不同云端之间抄写数据,就地分析数据。

跨云大数据分析

BigQuery Omni处理跨云端平台数据分析,由于数据为数码转型的重要资产,可是数据通常分别储存在内部系统、专用系统,或多云平台。BigQuery Omni可利用BigQuery处理储存在Google云端、Amazon Web Services(AWS)及,也即将推出支援Azure等不同平台。AWS的S3上拥有不少分析大数据数据湖,属于Google目标客户,AWS成为Anthos首个支援的公有云。

BigQuery为Google无伺服器的分析服务,可实时分析大量非结构数据,内建机器学习,支援标准SQL,同时执行无限DML。

Google云端工程总经理及副总裁Debanjan Saha表示,据Gartner的调查,超过8成使用公有云的企业,有多于一个云服务供应商,数据分散;只要透过Anthos,客户毋须转移或复制数据资料库,即以BigQuery Omni直接分析分别储存于Google云端、AWS及Azure的数据,一站式数据分析。

Saha表示:「在不同云端平台上转移数据是繁复且昂贵过程,Google积极优化多云服务,无论客户使用哪一个公有云,均能使用Google云端产品和技术。BigQuery Omni为企业提供所需的开放式环境,毋须额外支付从其他云端平台,搬迁数据至Google云端的昂贵出站费,打破数据孤岛。」

杜绝记忆体窃秘

企业转移至云端,处理及保护敏感资料,往往是一大考虑。Google推出了机密运算(Confidential Computing),可加密所有使用中数据。机密运算的环境,数据除了进入中央处理器(CPU)内处理时解密,数据均一直保持加密状态,包括正存放记忆体等待进入CPU,直至进入后才解密。

黑客一个技巧是以Memory Dump,或直接从记忆体,读取得没加密的数据,只要取得机器控制权,就可以Proc Dump或截听记忆体,盗取记忆体内数据,再扔到远端机器,甚至密码亦无所遁形。

Google机密运算技术价值在于,黑客取得记忆体内数据,亦无从知悉内容,数据经加密后,除非同时获得解密金钥,否则也得物无所用。

Google机密运算的首项产品是「机密虚拟机器」(Confidentia lVM),正是能将记忆体数据加密。据Google的示范,加密并无对运算效率,构成太大负担。Google云端已采用隔离和沙盒技术,作为云端基础架构的一部分,机密虚拟机器进一步确保多租户架构安全。

机密虚拟机器乃采用AMD处理器的Secure Memory Encryption(SME),以第二代AMD EPYC处理器所支援的安全加密虚拟化环境。

Google云端为首个主要云端平台供应商提供此项性能,机密虚拟机器也毋须修改编码。英特尔亦宣布会推出类似虚拟平台加密技术,估计其他公有云更换处理器后,也会提供类似服务。

Google云端安全总经理及副总裁SunilPotti说:「来自不同业界的客户正在摸索云端平台上复杂的合规和私隐安全问题,尤其是受规管行业如金融服务机构、医疗保健公司和政府机构等。当这类客户采用最新的云端技术时,往往会遇到数据私隐和合规标准的问题。」

最新回应

關鍵字

热门文章