구글 클라우드, 하이원슬롯 컴퓨팅 포트폴리오 확장

[ 매드타임스 김신엽 기자 ]구글 클라우드가 지난7월 구글 클라우드 넥스트 ‘20:온에어 시작과 함께 발표한하이원슬롯컴퓨팅(Confidential Computing)포트폴리오를 확장한다.구글 클라우드는 ‘하이원슬롯GKE노드(Confidential GKE Nodes)’ 베타 버전을 새롭게 출시하고 베타 버전이었던 ‘하이원슬롯VM(Confidential VM)’를 상용화하며 새로운 기능을 소개할 예정이다.

하이원슬롯GKE노드,하이원슬롯 컴퓨팅을 컨테이너 워크로드에 적용

구글 클라우드는 컨테이너화 된 워크로드에 새로운 수준의 기밀성(confidentiality)과 이동성(portability)을 제공하기 위해 구글 클라우드 하이원슬롯 컴퓨팅 포트폴리오를 더욱 확장하고 있다.고객이 기존 애플리케이션을 현대화하고 클라우드 네이티브 애플리케이션을 구축하면서구글쿠버네티스엔진(Google Kubernetes Engine, GKE)은 기반 기술로서 더욱 주목 받게 됐다.

구글 클라우드 하이원슬롯GKE노드는 기업이GKE기반의 쿠버네티스 클러스터를 사용하고 싶을 때 기밀 워크로드에 추가 옵션을 제공한다.이 솔루션은 하이원슬롯 컴퓨팅 포트폴리오의 첫번째 제품인 하이원슬롯VM과 동일한 기술을 기반으로 구축되었으며AMD에픽(EPYC) CPU가 생성 및 관리하는 노드별 전용 키를 사용해 데이터를 메모리에 암호화된 상태로 유지할 수 있다.

사용자는 하이원슬롯GKE노드를 이용해 하이원슬롯VM기능이 있는 노드 풀만 배포하도록GKE클러스터를 구성할 수 있다.하이원슬롯GKE노드가 활성화된 클러스터의 모든 작업자 노드는 자동으로 하이원슬롯VM만을 사용하게 된다. GKE하이원슬롯 노드는AMD에픽CPU의AMD시큐어 암호화 가상화(AMD Secure Encrypted Virtualization)기능으로 구동되는 하드웨어 메모리 암호화를 이용해 하이원슬롯 노드에서 실행되고 있는 워크로드를 사용 중 암호화한다.

하이원슬롯VM상용화와 함께 네 가지 신규 기능 발표

구글 클라우드는 다양한 격리(isolation)및 샌드박스 기술(sandboxing technique)을 활용해 멀티 테넌트(multi-tenant)아키텍처를 안전하게 보호한다.하이원슬롯VM은 메모리 암호화를 사용해 워크로드와 테넌트를 서로 분리하고 클라우드 인프라로부터 격리함으로써 보안의 수준을 높인다.또한 구글 컴퓨트 엔진(Google Compute Engine)에서 워크로드에서 사용되는 메모리를 보호하기 위해 리프트 앤 시프트(lift-and-shift)방식 및 새로 생성된 워크로드에 사용이 편리한 옵션을 제공한다.

하이원슬롯VM은 가장 까다로운 컴퓨팅 작업에 높은 성능을 제공하면서AMD에픽CPU의AMD시큐어 프로세서가 생성 및 관리하는 전용VM별 인스턴스 키를 이용해VM메모리를 암호화된 상태로 유지한다.하이원슬롯VM은240가상CPU(vCPU)와896기비바이트(GiB)메모리로 확장 가능하고 큰 성능 저하 없이 사용할 수 있다.

라구 남비아르(Raghu Nambiar) AMD데이터센터 에코시스템 부문 기업 부사장은 “AMD에픽CPU의 고급 보안 기능인 시큐어 암호화 가상화를 구글 클라우드 하이원슬롯VM에서 하이원슬롯GKE노드에서도 선보일 수 있게 돼 기쁘다”며 “AMD는AMD에픽CPU와 구글 클라우드의 하이원슬롯 컴퓨팅 포트폴리오와 함께 고객이 애플리케이션을 클라우드로 쉽게 이전할 수 있다는 확신을 가질 수 있도록 고객 데이터를 안전하게 유지하도록 지원하고 있다”고 말했다.

구글 클라우드는 고도화된 보안 기술을 기반으로 새로운 하이원슬롯VM기능을 발표했다.

• 컴플라이언스감사보고서:감사보고서에하이원슬롯VM인스턴스에서키생성을담당하는AMD시큐어프로세서펌웨어(AMD Secure Processor Firmware)의무결성(integrity)에대한상세로그가포함된다.구글클라우드는사용자가VM을처음시작할때무결성기준선을설정하고VM을재시작할때마다이를기준선과대조한다.사용자는이러한로그를기반으로사용자지정작업이나경고를설정할수있다.
• 하이원슬롯컴퓨팅리소스에대한새로운정책제어 : ID및액세스관리조직정책(IAM Org Policy)을이용해하이원슬롯VM에대한구체적인접근권한을정의할수있다.또한프로젝트에서실행중인안전하지않은VM사용을중지시키는것도가능하다.이정책이적용되면프로젝트내안전하지않은VM을시작할수없게된다.구글클라우드가하이원슬롯컴퓨팅을제공하는서비스를확장하면서이러한정책으로프로젝트및폴더또는조직에서실행하고싶은하이원슬롯컴퓨팅리소스를제어할수있다.
• 다른시행메커니즘과의통합 :공유VPC(Virtual Private Cloud),조직정책제약조건,방화벽규칙을조합해하이원슬롯VM이다른프로젝트안에서가동중일때도하이원슬롯VM끼리만통신할수있도록지원한다.또한VPC서비스제어(VPC ServiceControl)를이용해하이원슬롯VM에대한구글클라우드플랫폼(Google Cloud Platform, GCP)리소스경계를정의할수있다.예를들어하이원슬롯VM서비스계정으로만접근할수있는구글클라우드스토리지버킷을구성하는것이가능해진다.
• 하이원슬롯VM과안전하게기밀정보공유 :하이원슬롯VM을이용하는동안외부키를이용해암호화된민감한파일을처리해야하는경우가발생한다.이때파일암호문과암호키는하이원슬롯VM과공유해야한다.하이원슬롯VM은이러한기밀정보를안전하게공유하기위해가상신뢰플랫폼모듈(Virtual Trusted Platform Module, vTPM)을이용한다.또한go-tpm오픈소스라이브러리를사용하면API를이용해하이원슬롯VM의vTPM과연동할수있다.

양승도 구글 클라우드 코리아 커스터머 엔지니어링 총괄은 “클라우드 컴퓨팅은 기업의 데이터가 클라우드 제공업체나 내부자에게 노출되지 않도록 암호화된 비공개 서비스 형태로 발전하게 될 것”이라며 “메모리와 같은CPU외부에서도 데이터를 처리하는 동시에 암호화하는 하이원슬롯 컴퓨팅은 차세대 미래 보안 기술이다.구글 클라우드는 기업이 클라우드에서 데이터를 처리하면서 기밀성과 개인정보보호를 유지하는 방식을 혁신하며 클라우드 보안의 새로운 기준을 만들어 갈 것”이라고 말했다.

구글 클라우드 하이원슬롯GKE노드는GKE1.18출시와 함께 곧 베타 버전으로 출시될 예정이며,설문에 등록한 고객은 자세한 정보와 출시 시기에 대해 업데이트 받을 수 있다.하이원슬롯VM은웹사이트에서 지금 바로 사용 가능하다.