Google e sicurezza: tentativo di ripresa nel cloud?

Oramai sempre più dei nostri dati risiedono nel cloud: che siano servizi ai quali ci appoggiamo o per mera comodità, spesso invece di creare la buona vecchia VM o di recuperare il pc parcheggiato nel cassetto (o nell’armadio) da anni, decidiamo di fare affidamento a sistemi disponibili online.

Quando si tratta dei servizi cloud, i top player al momento sono tre: Amazon con il suo AWS, Azure di Microsoft e Google Cloud. E non sono stati scritti in quest’ordine a caso: se il prodotto di Bezos detiene un solido primo posto, la piattaforma del famoso motore di ricerca si attesta al terzo (dopo quella di Microsoft).

Ed è per questo che, spesso, proprio gli ultimi cercano la next-big-thing da proporre al fine di surclassare gli “avversari”, come è stato all’ultimo evento Cloud Next tenutosi, considerata la situazione attuale, in forma virtuale (come avviene per molte altre conferenze).

Quello che ha presentato è un nuovo prodotto disponibile sulla sua piattaforma cloud: le Confidential VMs. L’idea di base è semplice: considerando che sempre più dati ed operazioni avvengono in cloud, Google afferma che non è più sufficiente criptare il disco e la comunicazione tra gli utenti ed il cloud, ma che serve un piccolo passo in più, ovvero criptare i dati nella memoria della “macchina” mentre vengono processati.

Certo, se già avere i dati criptati su disco e la crittografia a livello di trasporto introducono carico sulla CPU, criptare e decriptare ogni cosa che viene scritta e letta dalla memoria è un’ulteriore tirata di freno a mano sulle performance. Per ovviare a questo problema ha dovuto sfruttare la seconda generazione di processori AMD EPYC, sufficientemente rapidi ed apprezzati da minare il quasi-monopolio di Intel sui processori usati in datacenter (forse Torvalds ha ragione nelle sue affermazioni?), al punto che anche la piattaforma Cloud E3 di Oracle ed alcune istanze EC2 (Elastic Compute Cloud) di AWS sfruttano questi.

Nello specifico le Confidential VM di Google utilizzano l’estensione SEV (Secure Encrypted Virtualization) di questi processori AMD per riuscire a criptare la memoria mantenendo buone performance, ed utilizzando una chiave di crittografia dedicata ad ogni singola VM, generata e gestita dallo stesso processore.

Certo, tutto molto bello, ma l’impatto sulle performance si fa sentire comunque: a seconda del tipo di elaborazione che lanciamo sul sistema, ci possiamo aspettare un rallentamento dall’1 al 6% (ad esempio, il bilanciamento di NGINX è stato registrato tra l’1 ed il 4%). Ulteriori informazioni sull’impatto sono disponibili in una serie di benchmark eseguiti da AMD proprio su quel tipo di servizio Google ma, forse, se vogliamo un ulteriore livello di sicurezza dobbiamo prevedere un “costo” di qualche tipo.

Ma secondo voi, sarà sufficiente per scalare il podio?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , ,