☸️ Confidential Kubernetes
https://kubernetes.io/blog/2023/07/06/confidential-kubernetes/
Реально хорошая статья по состоянию дел с Confidential Computing в отношении Kubernetes. Жаль, без авторов со стороны AWS, потому для человека в теме, по части AWS будут сразу видны некоторые, скажем так, моменты.
1️⃣ «
А-ха-ха. В год, страшное дело, для бизнеса с такими требованиями по безопасности. И особенно смешно с учётом стоимости HSM в Azure: 😃
Hourly usage fee per HSM
Azure Dedicated HSM
2️⃣ Технология Confidential Computing на AWS или AWS Nitro Enclaves, лишь кратко упомянута из-за «
Тут всё верно, целиком согласен. Nitro Enclaves — крутая фича, однако годность её AWS придётся всю жизнь доказывать, т.к. простых путей проверить этого нет и нужно целиком полагаться на авторитет AWS и аудиторов, а не техническую невозможность доступа в изолированное окружение.
3️⃣ AMD SEV — упомянуты лишь Azure и Google. Хотя на AWS теперь тоже доступны SEV-SNP (в то время как на Google лишь SEV-ES).
4️⃣ Скорость работы — реализация Confidential Computing от AMD очень эффективна: «
5️⃣ Смешное название CoCo (Confidential Containers) и возможность запускать Confidential Kubernetes worker nodes вновь распространяется лишь Azure и Google. А правильно было упомянуть, что AWS Nitro Enclaves работает на EKS.
6️⃣ Хорошее и важное замечание «
7️⃣ Constellation — интересная штука, буду признателен, если кто-то поделится опытом использования.
Итого, хорошая статья, очень рекомендую ознакомиться.
#security #ConfidentialComputing #ConfidentialKubernetes
https://kubernetes.io/blog/2023/07/06/confidential-kubernetes/
Реально хорошая статья по состоянию дел с Confidential Computing в отношении Kubernetes. Жаль, без авторов со стороны AWS, потому для человека в теме, по части AWS будут сразу видны некоторые, скажем так, моменты.
1️⃣ «
A managed CloudHSM from AWS costs around $1.50 / hour or ~$13,500 / year.
»А-ха-ха. В год, страшное дело, для бизнеса с такими требованиями по безопасности. И особенно смешно с учётом стоимости HSM в Azure: 😃
Hourly usage fee per HSM
Azure Dedicated HSM
$4.85
2️⃣ Технология Confidential Computing на AWS или AWS Nitro Enclaves, лишь кратко упомянута из-за «
have a different threat model compared to the CPU-based solutions by Intel and AMD
».Тут всё верно, целиком согласен. Nitro Enclaves — крутая фича, однако годность её AWS придётся всю жизнь доказывать, т.к. простых путей проверить этого нет и нужно целиком полагаться на авторитет AWS и аудиторов, а не техническую невозможность доступа в изолированное окружение.
3️⃣ AMD SEV — упомянуты лишь Azure и Google. Хотя на AWS теперь тоже доступны SEV-SNP (в то время как на Google лишь SEV-ES).
4️⃣ Скорость работы — реализация Confidential Computing от AMD очень эффективна: «
SEV-SNP VM overhead is <10%
». Про реализацию от Intel сказано расплывчато, что "hard to benchmark
". Перевожу на простой — полный тормоз. 😁5️⃣ Смешное название CoCo (Confidential Containers) и возможность запускать Confidential Kubernetes worker nodes вновь распространяется лишь Azure и Google. А правильно было упомянуть, что AWS Nitro Enclaves работает на EKS.
6️⃣ Хорошее и важное замечание «
they don't offer a dedicated confidential control plane
» — пока никакое облако не предлагает Confidential Kubernetes мастер-ноды, речь только о workers.7️⃣ Constellation — интересная штука, буду признателен, если кто-то поделится опытом использования.
Итого, хорошая статья, очень рекомендую ознакомиться.
#security #ConfidentialComputing #ConfidentialKubernetes
kubernetes.io
Confidential Kubernetes: Use Confidential Virtual Machines and Enclaves to improve your cluster security
Authors: Fabian Kammel (Edgeless Systems), Mikko Ylinen (Intel), Tobin Feldman-Fitzthum (IBM)
In this blog post, we will introduce the concept of Confidential Computing (CC) to improve any computing environment's security and privacy properties. Further,…
In this blog post, we will introduce the concept of Confidential Computing (CC) to improve any computing environment's security and privacy properties. Further,…