Google推出机密GKE节点以机密运算技术处理容器工作负载

在7月的时候，Google的机密虚拟机器服务才进入Beta测试版，现在Google释出机密运算服务新进展，除了机密虚拟机器服务正式上线之外，也发布了第2款机密运算服务—机密GKE节点，让企业可以在GKE执行容器工作负载时，获得更全面的加密保护。

机密运算是在进行计算的时候，利用加密技术加密处理中的资料，在CPU之外的任何地方，包括储存在硬碟与记忆体的资料都会加密，以确保企业的资料不会暴露给云端供应商、内部人员或是任意第三方。Google现在除了机密虚拟机器之外，还提供机密GKE节点，将会从GKE 1.18版本的Beta测试版开始，在Kubernetes丛集服务增加机密选项。

不少企业把Kubernetes当作是建构云端应用程式的基础，但Google提到，在应用程式现代化的同时，除了提升可移植性，他们也希望容器化工作负载能够有更高等级的机密性。因此Google使用建构机密虚拟机器的技术，打造新的机密GKE节点服务，利用AMD EPYC处理器所创建和管理的金钥，在记忆体中以专用的金钥加密资料。

用户可以透过配置，只使用机密虚拟机器来配置机密GKE节点池，而且机密GKE节点也会自动强制在所有工作节点，使用机密虚拟机器。机密GKE节点所使用的硬体记忆体加密技术，是来自AMD EPYC处理器的安全加密虚拟化功能，也就是说，机密节点上执行的工作负载，会在执行时进行加密，以确保资料的安全性。

在发布新的机密服务的同时，机密虚拟机服务也推出了正式版，并且加入了几项新功能。现在用户可以查看法遵稽核报告，该报告包含AMD安全处理器韧体完整性的详细日誌，在首次启动虚拟机器时，系统会建立完整性基準，并在重新启动时执行配对检查，用户可以利用这些日誌自定义操作或是警示。

机密运算资源也提供了更完整的政策控制，用户可以使用IAM组织政策，来为机密虚拟机器定义特殊的存取权限，并且禁止在专案中使用非机密虚拟机器，另外，机密虚拟机器也可以使用外部的金钥，以处理经加密的敏感档案。