Teknologi

‘Confidential Computing’ Specialist Open Sources Runtime-Encrypted Kubernetes — Virtualization Review


Nyheter

‘Confidential Computing’ Specialist Open Sources Runtime-Encrypted Kubernetes

Edgeless Systems, som mener “konfidensiell databehandling” er fremtiden for cloud computing, bekreftet denne troen ved å åpne et kryptert Kubernetes-tilbud.

Kalt Konstellasjoner det nye GitHub-baserte åpen kildekode-prosjektet beskrevet som “Alltid krypterte Kubernetes.”

Konstellasjon
[Click on image for larger view.] Konstellasjon (kilde: Edgeless Systems).

GitHub README.md-filen sier: “Constellation er en Kubernetes-motor som tar sikte på å gi best mulig datasikkerhet. Den pakker inn K8s-klyngen din i en enkelt konfidensiell kontekst som er skjermet fra den underliggende skyinfrastrukturen. Alt inni er alltid kryptert, inkludert ved kjøretid i minnet. For dette utnytter Constellation konfidensiell databehandling (se hvitt papir) og mer spesifikt konfidensielle VM-er.”

Den hvitboken publisert av den tysk-baserte cybersikkerhets-oppstarten forklarer deres syn på konfidensiell databehandling: “Konfidensiell databehandling er en teknologi som beskytter datamaskinens arbeidsbelastninger fra deres miljøer og holder data kryptert selv under behandling. Det enorme og tidligere uløste problemet som konfidensiell databehandling adresserer er følgende: Hvordan behandle data på en datamaskin som potensielt er kompromittert? Denne datamaskinen kan drives av deg selv, bedriften din eller en tredjepart som en skyleverandør.” (For Microsofts syn på konfidensiell databehandling, les Paul Schnackenburgs Virtualisering og skygjennomgang artikkel “En titt på Azure Confidential Computing.”)

Konfidensiell databehandling
[Click on image for larger view.] Konfidensiell databehandling (kilde: Edgeless Systems).

Når det gjelder disse «Konfidensielle VM-ene», er de forklart i en blogg fra 13. september post: “Kort sagt, med Constellation kjører alle nodene dine inne i konfidensielle virtuelle maskiner, noe som muliggjør kryptering under behandling. I tillegg krypterer Constellation automatisk all data som sendes over nettverket eller skrives til lagring. Integriteten til nodene blir verifisert av Constellation gjennom en attesteringsprosess, der bare ‘gode’ noder, altså de som kjører et signert Constellation-bilde og er i forventet tilstand, får de kryptografiske nøklene som kreves for å få tilgang til nettverket og lagringen til en klynge.”

Mens selskapet sier at Constellation fungerer på alle store skyer, spesifikt dokumentasjon viser at støtten avhenger av i hvilken grad Google Cloud Platform (GCP), Amazon Web Services (AWS) og Microsoft Azure støtter Confidential VMs (CVMs), med den sistnevnte plattformen som sies å gi «det beste grunnlaget for Constellation».

Constellations konfidensielle kontekst
[Click on image for larger view.] Constellations konfidensielle kontekst (kilde: Edgeless Systems).

Sikkerhetsfunksjonene til tilnærmingen, sa selskapet, inkluderer:

  • Kjøretidskryptering: Constellation kjører alle Kubernetes-noder inne i CVM-er. Dette gir kjøretidskryptering for hele klyngen.
  • Nettverks- og lagringskryptering: Constellation forsterker dette med transparent kryptering av Nettverk og vedvarende lagring. Dermed er arbeidsbelastninger og kontrollplan virkelig ende-til-ende-kryptert: i hvile, under transport og under kjøring.
  • Transparent nøkkelhåndtering: Constellation styrer tilsvarende kryptografiske nøkler inne i CVM-er.
  • Nodebekreftelse og bekreftelse: Constellation verifiserer integriteten til hver ny CVM-basert node som bruker fjernattestering. Bare “gode” noder mottar de kryptografiske nøklene som kreves for å få tilgang til nettverket og lagringen til en klynge.
  • Konfidensielle dataoptimaliserte bilder: En node er “god” hvis den kjører en signert konstellasjon nodebilde inne i en CVM og er i forventet tilstand. (Nodebilder blir maskinvaremålt under oppstart og reflekteres. Målingene gjenspeiles i attestasjonserklæringene som produseres av noder og verifiseres av Constellation.)
  • “Hele klyngen” attestasjon: Overfor DevOps-ingeniøren gir Constellation et enkelt maskinvare-rootet sertifikat som alt ovenfor kan verifiseres fra.

“Edgeless Systems bygger åpen kildekode-infrastruktur for Confidential Computing-revolusjonen,” sa selskapets administrerende direktør Felix Schuster i en 13. september. nyhetsmelding. “Maskinvaren og funksjonene som kreves for Constellation var for det meste ikke engang tilgjengelig i skyen for 12 måneder siden, men vi startet det nødvendige arbeidet for å sikre at Kubernetes-brukere kan sikre alle dataene sine – i hvile, under transport og nå i bruk. Konstellasjonen er tilgjengelig for alle, og vi kan hjelpe til med å akselerere bruken av sikrere arbeidsbelastninger for nettskydatabehandling.”

om forfatteren

David Ramel er redaktør og skribent for Converge360.