С развитием сетей нового поколения и ростом облачных вычислений, виртуализация функций сети (NFV) и Edge Computing стали неотъемлемыми компонентами современной инфраструктуры. Однако, с увеличением значимости этих технологий возникают новые вызовы в области безопасности. Для обеспечения конфиденциальности и целостности данных в таких средах компания AMD разработала технологию AMD Secure Encrypted Virtualization (SEV), которая эффективно повышает безопасность виртуализации функций сети, Edge Computing, включая Multi-Access Edge Computing (MEC), построенных на микросервисной архитектуре.

AMD SEV

AMD SEV - передовая технология, разработанная компанией AMD, для усиления безопасности виртуальных сред. Она обеспечивает надежный уровень защиты виртуальных машин и контейнеров путем шифрования их памяти и изоляции друг от друга и от хост-системы. С помощью AMD SEV каждая ВМ получает уникальный ключ шифрования, обеспечивая безопасность и конфиденциальность данных, даже в условиях общего использования вычислительной среды. Подробнее

Микросервисная архитектура

Микросервисная архитектура представляет собой подход, при котором приложение разбивается на небольшие, независимые и взаимодействующие между собой сервисы. Сейчас его стали называть Cloud Native. Это обеспечивает гибкость и масштабируемость в разработке и развертывании приложений.

AMD SEV для микросервисной архитектуры:

  • Безопасность о время работы: AMD SEV обеспечивает изоляцию и безопасность между отдельными микросервисами и при физическом доступе к серверу. Шифрование данных и механизмы управления доступом предотвращают несанкционированный доступ и обеспечивают защиту от атак на целостность и конфиденциальность.

  • Безопасность при передаче: микросервисы могут перемещаться по инфраструктуре - между различными серверами и дата-центрами. При этом контейнер, в котором находиться микросервис (или одна из его копий), будет зашифрован. Это похоже на перевозку грузов: какой бы мульмодальной не была перевозка, если контейнер опечатан и пломба не повреждена, можно считать, что груз внутри тоже в порядке.

  • Безопасность при хранении: мгновенный снимок (снэпшот) контейнера - часто используемая функция для сохранения состояния и возможности вернуться ("откатиться") к нему. При шифровании памяти контейнера снэпшот тоже окажется зашифрованным на том ключе.

Виртуализация сетевых функций

Виртуализация сетевых функций позволяет отделить программное обеспечение, используемое в сетевых функциях, от физической инфраструктуры. Это предоставляет гибкость и масштабируемость в развертывании сетевых сервисов. Однако, динамичность NFV создает новые уязвимости, требующие эффективных мер безопасности. Так как сетевые функции, как правило, существуют в виде виртуальных машин или контейнеров, то все сказанное выше для микросервисов справедливо и для NFV.

AMD SEV для безопасности NFV:

  • Защита между микросервисами: AMD SEV обеспечивает изоляцию и шифрование между виртуальными машинами в NFV-среде. Это предотвращает несанкционированный доступ и перехват данных между различными сетевыми функциями.

  • Защита данных при хранении и передаче: SEV обеспечивает шифрование данных в памяти виртуальных машин, защищая их от утечек информации при хранении и передаче по сети.

Edge Computing и Multi-Access Edge Computing

Edge Computing представляет собой архитектуру вычислений на краю сети, которая позволяет обрабатывать данные ближе к источнику или конечным пользователям. Одним из ключевых компонентов Edge Computing является Multi-Access Edge Computing (MEC), платформа, которая размещает вычислительные ресурсы и сервисы ближе к пользователям на базовых станциях сети. Такая возможность реализуется перемещением контейнеров с сетевыми функциями на граничные устройства.

AMD SEV для безопасности Edge Computing и MEC:

  • Защита при развертывании вычислений на краю: AMD SEV обеспечивает безопасность при развертывании вычислений на краю, защищая данные от физических атак и вредоносного программного обеспечения, которые могут возникнуть в ненадежных окружениях на краю сети. Ведь в ряде случаев граничные устройства могут не принадлежать владельцу облака или сети.

  • Защита между сервисами в MEC: SEV гарантирует защиту между различными сервисами в Multi-Access Edge Computing, предотвращая несанкционированный доступ и обеспечивая конфиденциальность данных при их передаче и обработке на краю сети. В случае с MEC на граничном устройстве могут исполняться микросервисы, принадлежащие разным владельцам, а само устройство - кому-то еще.

Заключение

Технология AMD SEV представляет собой надежный инструмент для обеспечения безопасности виртуализации функций сети (NFV), Edge Computing (включая MEC) на базе микросервисной архитектуры. Применение AMD SEV в этих областях обеспечивает защиту от угроз безопасности, таких как несанкционированный доступ, атаки на междоменное взаимодействие, и утечка данных. Шифрование данных на всех этапах жизненного цикла микросервиса позволяет проводить доверенные вычисления на недоверенном оборудовании и при передаче по недоверенным каналам связи, используя при этом всю гибкость Cloud Native.

Комментарии (0)