Google Cloud lleva el cifrado y el cumplimiento al siguiente nivel

hace 4 años

Google Cloud presentó sus últimas ofertas de VM confidencial y cargas de trabajo aseguradas para proporcionar más cifrado de datos y restringir las ubicaciones de almacenamiento a una ubicación en particular. Las empresas altamente reguladas, así como las agencias gubernamentales están en la mira.

Google Cloud ha tomado medidas importantes para proteger los datos de los clientes y evitar el acceso potencialmente no autorizado a cargas de trabajo confidenciales. Para cumplir con este imperativo y los requisitos de cumplimiento requeridos, en particular en sectores altamente regulados, así como en instituciones gubernamentales y sus subcontratistas, el gigante estadounidense ha levantado el telón sobre VM confidencial y cargas de trabajo aseguradas para el gobierno. Hay muchas soluciones disponibles para cifrar datos almacenados en bases de datos o pasar por Internet entre servidores y clientes. Sin embargo, el mayor desafío de seguridad es proteger la información mientras se procesa a nivel de aplicación en la memoria del sistema. Esto siempre ha sido un problema difícil de resolver porque las aplicaciones necesitan descifrar los datos en la memoria antes de procesar las operaciones, lo que hace difícil en este punto evitar que un tercero no autorizado tenga control sobre ellos. Sistema operativo u otra aplicación. Un agujero en la raqueta en el que el malware se especializa en el robo de información bancaria a través del raspado de RAM dirigido a terminales de punto de venta.

Para protegerse contra estos riesgos, existe un medio como el cifrado de datos en la memoria de los fabricantes de procesadores que han incluido circuitos de seguridad dedicados en sus conjuntos de componentes. Conocidos como entornos de ejecución de confianza (TEE), pueden usarse como enclaves seguros gracias a su memoria asignada que está aislada de la del sistema operativo principal. Las CPU ARM están disponibles con TrustZone, las CPU Intel con SGX (extensiones de protección de software), y los modelos AMD cuentan con tecnología SEV (virtualización encriptada segura).

Índice
  1. Cifre toda la memoria de las máquinas virtuales en la nube.
  2. No hay recompilación de aplicaciones en AMD SEV
  3. Cargas de trabajo aseguradas para el gobierno actualmente confinado a los Estados Unidos

Cifre toda la memoria de las máquinas virtuales en la nube.

Para proporcionar una capa adicional de seguridad, Google Cloud ha anunciado VM confidencial, inicialmente disponible en versión beta y el primer producto de su última gama de Computación confidencial, diseñada para admitir la función SEV de segunda generación para la arquitectura AMD Epyc. . Esta tecnología proporciona a las empresas la capacidad de cifrar toda la memoria de sus máquinas virtuales en la nube con claves únicas generadas en la CPU y que no son exportables. Google Cloud no es el primer proveedor que ofrece este nivel de privacidad. Este es también el caso de Microsoft, que ha agregado enclaves seguros para procesadores basados ​​en Intel SGX en Azure desde 2018. Sin embargo, existen diferencias significativas entre cómo funcionan Intel SGX y AMD SEV y qué tipos de escenarios hacen. & # 39; ataques responden.

Intel SGX ha sido diseñado para ayudar a cifrar la memoria utilizada por una aplicación y permanecer seguro incluso en el caso de que el sistema operativo se vea comprometido. Esta es una función en la que la aplicación inicializa un enclave SGX y cambia a él tanto como sea necesario para descifrar y procesar operaciones en los datos. El beneficio clave es que estos datos nunca dejan su enclave en un estado sin cifrar y, por el contrario, las aplicaciones que deben modificarse pueden utilizar esta capacidad en primer lugar. Por su parte, AMD SEV se centra en cifrar la memoria de todas las máquinas virtuales en lugar de las aplicaciones. Su propósito es proteger la seguridad de los datos del cliente dentro de una VM en caso de que el hipervisor o el propio sistema operativo host se vean comprometidos. La otra cara es que los datos no están protegidos si un atacante logra obtener el control sobre las máquinas virtuales protegidas o el sistema operativo host y las aplicaciones que se ejecutan en él.

No hay recompilación de aplicaciones en AMD SEV

"El principal beneficio de comenzar con SEV para AMD es no tener que volver a compilar la aplicación", explicó Sunil Potti, vicepresidente y gerente general de Google Cloud, a nuestro colega de CSO. “Esta es la preocupación más importante de nuestros clientes que debemos abordar para garantizar la adopción masiva de VM confidencial. Con nuestra tecnología, solo tiene que llevar y mover sus cargas de trabajo en las máquinas virtuales y aprovechar las nuevas tecnologías de seguridad que presentaremos con el tiempo para aprovecharlas ”.

Anteriormente, Google había respondido parcialmente al escenario de compromiso del sistema operativo invitado mediante el uso de imágenes de máquinas virtuales reforzadas con verificación de integridad de cifrado para evitar el malware a nivel del núcleo y la escalada de privilegios. Esto formaba parte del catálogo de la oferta de Google Cloud bajo el nombre de Shielded VM. Pero hoy Google Cloud va más allá: "Creamos VM confidencial sobre la VM protegida para fortalecer la imagen del sistema operativo y verificar la integridad del firmware, los binarios del kernel y los controladores", dijo Google Cloud en una nota. “Las imágenes de SO compatibles con Google incluyen Ubuntu v18.04, 20.04, Container Optimized OS (COS v81) y RHEL 8.2. Estamos trabajando en CentOS, Debian y otras distribuciones para proporcionar imágenes confidenciales adicionales del sistema operativo ”.

Google también ha trabajado estrechamente con AMD para garantizar que las métricas de rendimiento de las máquinas virtuales confidenciales sean lo más cercanas posible. También se han desarrollado controladores de código abierto de alto rendimiento para almacenamiento de alta velocidad y tráfico de red. Las máquinas virtuales confidenciales se ejecutan en tipos de máquinas de la serie Google Cloud N2D que admiten hasta 224 vCPU con 8 GB de memoria por vCPU.

Cargas de trabajo aseguradas para el gobierno actualmente confinado a los Estados Unidos

Paralelamente a Confidental VM, Google Cloud también anunció la solución Assured Workloads for Government que debería permitir a las instituciones gubernamentales y sus subcontratistas satisfacer sus necesidades de seguridad y cumplimiento que necesitan para ir a la nube. público. Tradicionalmente, las soluciones en la nube para los gobiernos se han basado en centros de datos separados y entornos aislados que no se benefician de todas las funciones y recursos informáticos de las ofertas tradicionales.

Para cerrar esta brecha, Assured Workloads for Government permite a los usuarios restringir la ubicación de los datos almacenados y los recursos en la nube en regiones específicas, pero por ahora solo en los Estados Unidos. Esta solución también permite evitar los riesgos asociados con los errores de configuración al seleccionar controles de seguridad predefinidos junto con las reglas de la organización. Los clientes también pueden optar por restringir Google a las cargas de trabajo en función de diversos parámetros, como la ciudadanía de las personas, la ubicación geográfica, etc. Las cargas de trabajo gubernamentales garantizadas permiten a los clientes cumplir con los estándares establecidos por el Departamento de Defensa (IL4), los Servicios de Información de Justicia Criminal (CJIS) División del FBI, y el Programa de Gestión Federal de riesgos y permisos (FedRAMP), dijo Google.

Si quieres conocer otros artículos parecidos a Google Cloud lleva el cifrado y el cumplimiento al siguiente nivel puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir