Упрощенная безопасность: использование экранированной виртуальной машины по умолчанию для Compute Engine

В апреле прошлого года мы объявили о широкой доступности защищенной виртуальной машины — экземпляров виртуальных машин, которые усилены набором легко настраиваемых функций безопасности, которые гарантируют, что при загрузке вашей виртуальной машины она будет работать с проверенным загрузчиком и ядром. Чтобы сделать его доступным для всех, мы предложили Shielded VM без дополнительной оплаты.

Чтобы продолжать повышать безопасность и безопасность нашей экосистемы, сегодня мы делаем Unified Extensible Firmware Interface (UEFI) и защищенную виртуальную машину по умолчанию для всех, кто использует Google Compute Engine — без дополнительной оплаты. Это обеспечивает всестороннюю защиту для всех поддерживаемых экземпляров виртуальных машин, включая защиту от:
  • Прошивка вредоносной гостевой системы, расширения UEFI и драйверы
  • Постоянная загрузка и компрометация ядра в гостевой ОС
  • Секретная эксфильтрация и воспроизведение на основе виртуальной машины

Использование защищенной виртуальной машины для запуска наших безопасных сервисов на облачной платформе Google улучшило наше состояние безопасности, в то же время быстро и просто внедряя», — сказал Майкл Капикотто, архитектор Cloud Security в Two Sigma. «Сделать это по умолчанию для Compute Engine — это отличный следующий шаг к повышению безопасности для всех

Какие новости
Поскольку Shielded VM стала общедоступной, мы продолжаем добавлять поддержку для распространенных случаев использования на основе ваших отзывов и предложений по функциям.

Принятие в облаке Google. В дополнение к тому, что Shielded VM по умолчанию используется в Google Compute Engine, несколько служб Google Cloud на базе виртуальных машин, включая Cloud SQL, Google Kubernetes Engine, Kaggle и Managed Service для Microsoft Active Directory, теперь используют Shielded VM как их базовая инфраструктура.

Поддержка миграции: Начиная с версии 4.5, Migrate for Compute Engine (ранее Velostrata) включает поддержку миграции виртуальных машин на основе UEFI с локальной на защищенную виртуальную машину в Google Compute Engine.

Интеграция Security Command Center: выводы Security Health Analytics теперь позволяют идентифицировать экземпляры виртуальных машин с поддержкой защищенной виртуальной машины, для которых не включена защищенная загрузка, поэтому вы можете включить ее, если это возможно.


Возможность выбора
В дополнение к новым функциям, которые мы добавили, экранированные виртуальные машины теперь предлагают больше гибкости в отношении образов операционной системы, которые вы можете использовать, и того, как вы их получаете.

Поддержка в нескольких операционных системах. Подробный список операционных систем, поддерживающих функции защищенной виртуальной машины, а также информацию о проектах, в которых они находятся, см. В изображениях Google Compute Engine.

Торговая площадка для открытой экосистемы: экранированные образы виртуальных машин также доступны на торговой площадке GCP. Они предоставляются вам в сотрудничестве с Deep Learning VM, а также нашими сторонними партнерами в Центре Internet Security (CIS) и Server General.

Наша цель — помочь нашим клиентам защитить свои данные и с легкостью достичь соответствия нормативным требованиям. Перенос образов MySQL и PostgreSQL на защищенную виртуальную машину позволил нам обеспечить проверяемую безопасность за счет расширения доверия. модели от платформы до уровня сервера приложений, и в конечном итоге к данным, которые хранятся в базе данных или файловом сервере
сказал Радж Шарма, генеральный директор General Server

Настраиваемые экранированные изображения: вы также можете использовать свои собственные ключи для подписи двоичных файлов и создания пользовательских образов для вашего приложения или рабочей нагрузки. Они могут быть импортированы в Compute Engine без дополнительной оплаты.

Начните с упрощенного интерфейса
Теперь еще проще начать работу с защищенной виртуальной машиной через облачную консоль, gcloud или API. Давайте посмотрим, как создать защищенную виртуальную машину из консоли.

Сначала перейдите к опции «Экземпляры виртуальной машины» на левой панели навигации в консоли Compute Engine. Затем выберите «Новый экземпляр ВМ» из меню.


Затем просто выберите загрузочный диск, который поддерживает функции экранированной виртуальной машины. В этом примере мы создаем экземпляр виртуальной машины с использованием операционной системы Debian.


Выбрав загрузочный диск, вы можете настроить параметры конфигурации защищенной виртуальной машины — Secure Boot, vTPM и мониторинг целостности — на вкладке «Безопасность». На экземпляре защищенной виртуальной машины параметры vTPM и мониторинга целостности включены по умолчанию, а безопасная загрузка — нет. Это связано с тем, что некоторые клиенты используют неподписанные драйверы или другие подобные функции, которые несовместимы с Secure Boot. Если вам не нужны эти функции, мы настоятельно рекомендуем вам включить безопасную загрузку.



В настоящее время мы хотим особенно помнить о многих проблемах, с которыми сталкиваются организации. Сделав Shielded VM по умолчанию для Google Compute Engine, мы надеемся помочь упростить ваши рабочие процессы и обеспечить спокойствие, что ваши виртуальные машины и службы на их основе защищены от постоянных руткитов и буткитов. Чтобы узнать больше, ознакомьтесь с документацией по экранированной виртуальной машине.
cloud.google.com/shielded-vm/

0 комментариев

Оставить комментарий