Zaupni virtualni strežniki

Google je predstavil novo storitev v okviru oblaka Google Cloud, ki povišuje varnost in zaupnost podatkov pri procesiranju v oblaku na novo raven. Zaupni virtualni strežniki (confidential virtual machines) ponujajo šifriranje podatkov oziroma virtualnih aplikacij med izvajanjem na fizičnih strežnikih.

Dosedanje rešitve za šifriranje podatkov zagotavljajo varnost zgolj pri hrambi podatkov (na disku) ali pri transportu podatkov (prek omrežja), zaupni strežniki pa zdaj to širijo tudi za tiste trenutke, ko so podatki v obdelavi, torej v delovnem pomnilniku računalnikov.

Nova storitev je evolucija tehnologije Shielded VM, ki jo je Google predstavil leta 2018. Tedaj so poskrbeli, da so pri navideznih strežnikih odstranili vse komponente, ki bi lahko povzročile ranljivost sistema, poleg tega so imeli dodatne nivoje nadzora, ki so pregledovali nepričakovane dostope ali posega na podatke kot posledice morebitnih vdorov.

Zdaj so pri novi storitvi poskrbeli, da so občutljivi podatki vselej šifrirani, torej tudi med obdelavo. Rešitev sloni v resnici na strojni rešitvi, ki jo je priskrbel partner AMD. Uporabljeni so procesorji EPYC, ki omogočajo varno virtualizacijo (Secure Encrypted Virtualisation; SEV), ki uporablja unikatne ključe, ki jih ni mogoče izvoziti. Na ta način je nemogoče podatke odtujiti in hkrati ukrasti tudi ključ.

Rešitev je pomembna za tiste primere rabe in podjetja, ki obdelujejo občutljive podatke. Za tovrstno rabo so bili doslej strežniku v oblaku domala neprimerni, v številnih primerih in državah je taka raba celo zakonsko prepovedana. Zdaj obstaja alternativa, ki omogoča tudi obdelavo občutljivih podatkov v oblaku s prepričanjem lastnikov oziroma skrbnikov, da nihče ne more do njih prek stranskih vrat. Google zagotavlja, da rešitev šifriranja podatkov v ničemer ne upočasnjuje delovanja strežnikov, da torej delajo s svojo nazivno zmogljivostjo.