Google Cloud introduceert verbeterde security voor gevoelige data

Abonneer je gratis op Techzine!

Google Cloud heeft een tweetal security-oplossingen geïntroduceerd, Confidential VM’s en Assured Workloads for Government. Deze oplossingen moeten gevoelige data van vooral publieke organisaties beter binnen (public) cloudomgevingen beschermen.

Volgens Google Cloud zijn de nieuwe oplossingen vooral ontworpen voor marktsectoren waarbij het van het grootste belang is dat alle data vertrouwelijk blijft. Denk hierbij aan de overheid, de gezondheidszorg en de financiële dienstverlening. Deze sectoren hebben de strengste beveiligingseisen voor deze data, ook voor public cloudomgevingen.

De nu uitgebrachte oplossingen zorgen ervoor dat Google Cloud aan deze eisen kan voldoen. De oplossingen vormen een structureel onderdeel van de bekende public cloudomgevingen en zijn niet zomaar diensten die op deze omgeving draaien.

Confindential VM’s

Een van security-oplossingen betreft Confidential VM’s. Met Confidential Computing wordt actief gebruikte data, terwijl het wordt verwerkt, versleuteld. Binnen Confindential Computing-omgevingen blijft de data op die manier zowel binnen het geheugen als buiten de gebruikte CPU versleuteld.  De public cloudomgeving versleutelt al ‘data at rest’ en ‘in transit’, maar Confidential VM’s biedt nu ook versleuteling van het geheugen om de diverse workloads geïsoleerd te houden.

Samenwerking met AMD

De nu in bèta uitgebrachte oplossing is eigenlijk combinatie van de software van Google en de hardware van chipsetfabrikant AMD. Vooral is hierbij gekeken of de geheugenversleuteling weinig invloed heeft op de prestaties van de workloads. Hieruit bleek dat de Confidential VM’s bijna hetzelfde waren als die van traditionele niet-confidentiële vm’s.

Confidential VM’s gebruiken de Secure Encrypted Virtualization (SEV)-technologie die door de recente tweede generatie AMD Epyc CPU’s worden ondersteund. De gegevens blijven versleuteld wanneer het wordt gebruikt, geïndexeerd, bevraagd of getraind. De encryptiesleutels worden in de hardware per vm aangemaakt en kunnen niet worden geëxporteerd.

Op deze manier hoeven klanten hun applicaties niet helemaal opnieuw te ontwerpen om de voordelen van Confidential VM’s te gebruiken. Alle huidige Google Cloud Platform (GCP)-workloads die al in vm’s draaien, kunnen ook als Confidential VM’s draaien. Klanten hoeven hiervoor de optie aan te vinken.

Langer proces

Google werk al enige tijd aan het nog beter beveiligen van data in vm’s. De voorganger Shielded VM’s, vm’s die worden beschermd met beveiligingsmaatregelen tegen rootkits en bootkits, zijn al sinds begin dit jaar een standaardoptie voor GCP-klanten. Dit gaat waarschijnlijk ook gelden voor Confidential VM’s.

Ook is Google Cloud deelnemer aan het Confidential Computing Consortium (CCC). Dit project werd vorig jaar opgericht dooor de Linux Foundation. Ook andere grote cloudspelers doen hieraan mee, zoals Microsoft, IBM, Alibaba en chipsetfabrikant Intel.

Assured Workloads for Governement

De tweede security-tool die Google Cloud introduceert is Assured Workloads for Governement. Deze compliance-oplossing richt zich nu nog volledig op compliance-verplichtingen rondom data voor overheden in de Verenigde Staten.

Met deze oplossing kunnen overheden hun workloads op die manier configureren dat ze aan de strengste compliance-eisen voldoen. Hierdoor hoeven de workloads dan niet meer in een speciale ‘overheids-silo’ in een public cloudomgeving te worden ondergebracht. Deze speciale omgevingen beschikken vaak niet over alle functionaliteit die een public cloud -in dit geval natuurlijk Google Cloud- kan leveren.

De oplossing maakt deze aparte omgeving nu overbodig en zorgt ervoor dat Amerikaanse overheden nu hun workloads ‘gewoon’ in Google Cloud kunnen worden ondergebracht, maar nog steeds aan de strengste compliance voldoen.