‘컨피덴셜 GKE 노드’ 베타 버전 출시 ⋯ 컨테이너화 된 워크로드에 새로운 수준의 기밀성과 이동성 제공
‘컨피덴셜 VM’ 상용화⋯ 신규 기능과 함께 엔드 투 엔드(end-to-end) 암호화 고도화
[ 매드타임스 김신엽 기자 ] 구글 클라우드가 지난 7월 구글 클라우드 넥스트 ‘20: 온에어 시작과 함께 발표한 컨피덴셜 컴퓨팅(Confidential Computing) 포트폴리오를 확장한다. 구글 클라우드는 ‘컨피덴셜 GKE 노드(Confidential GKE Nodes)’ 베타 버전을 새롭게 출시하고 베타 버전이었던 ‘컨피덴셜 VM(Confidential VM)’를 상용화하며 새로운 기능을 소개할 예정이다.
컨피덴셜 GKE 노드, 컨피덴셜 컴퓨팅을 컨테이너 워크로드에 적용
구글 클라우드는 컨테이너화 된 워크로드에 새로운 수준의 기밀성(confidentiality)과 이동성(portability)을 제공하기 위해 구글 클라우드 컨피덴셜 컴퓨팅 포트폴리오를 더욱 확장하고 있다. 고객이 기존 애플리케이션을 현대화하고 클라우드 네이티브 애플리케이션을 구축하면서 구글 쿠버네티스 엔진(Google Kubernetes Engine, GKE)은 기반 기술로서 더욱 주목 받게 됐다.
구글 클라우드 컨피덴셜 GKE 노드는 기업이 GKE 기반의 쿠버네티스 클러스터를 사용하고 싶을 때 기밀 워크로드에 추가 옵션을 제공한다. 이 솔루션은 컨피덴셜 컴퓨팅 포트폴리오의 첫번째 제품인 컨피덴셜 VM과 동일한 기술을 기반으로 구축되었으며 AMD 에픽(EPYC) CPU가 생성 및 관리하는 노드별 전용 키를 사용해 데이터를 메모리에 암호화된 상태로 유지할 수 있다.
사용자는 컨피덴셜 GKE 노드를 이용해 컨피덴셜 VM 기능이 있는 노드 풀만 배포하도록 GKE 클러스터를 구성할 수 있다. 컨피덴셜 GKE 노드가 활성화된 클러스터의 모든 작업자 노드는 자동으로 컨피덴셜 VM만을 사용하게 된다. GKE 컨피덴셜 노드는 AMD 에픽 CPU의 AMD 시큐어 암호화 가상화(AMD Secure Encrypted Virtualization) 기능으로 구동되는 하드웨어 메모리 암호화를 이용해 컨피덴셜 노드에서 실행되고 있는 워크로드를 사용 중 암호화한다.
컨피덴셜 VM 상용화와 함께 네 가지 신규 기능 발표
구글 클라우드는 다양한 격리(isolation) 및 샌드박스 기술(sandboxing technique)을 활용해 멀티 테넌트(multi-tenant) 아키텍처를 안전하게 보호한다. 컨피덴셜 VM은 메모리 암호화를 사용해 워크로드와 테넌트를 서로 분리하고 클라우드 인프라로부터 격리함으로써 보안의 수준을 높인다. 또한 구글 컴퓨트 엔진(Google Compute Engine)에서 워크로드에서 사용되는 메모리를 보호하기 위해 리프트 앤 시프트(lift-and-shift) 방식 및 새로 생성된 워크로드에 사용이 편리한 옵션을 제공한다.
컨피덴셜 VM은 가장 까다로운 컴퓨팅 작업에 높은 성능을 제공하면서 AMD 에픽 CPU의 AMD 시큐어 프로세서가 생성 및 관리하는 전용 VM별 인스턴스 키를 이용해 VM 메모리를 암호화된 상태로 유지한다. 컨피덴셜 VM은 240 가상 CPU(vCPU)와 896 기비바이트(GiB) 메모리로 확장 가능하고 큰 성능 저하 없이 사용할 수 있다.
라구 남비아르(Raghu Nambiar) AMD 데이터센터 에코시스템 부문 기업 부사장은 “AMD 에픽 CPU의 고급 보안 기능인 시큐어 암호화 가상화를 구글 클라우드 컨피덴셜 VM에서 컨피덴셜 GKE 노드에서도 선보일 수 있게 돼 기쁘다”며 “AMD는 AMD 에픽 CPU와 구글 클라우드의 컨피덴셜 컴퓨팅 포트폴리오와 함께 고객이 애플리케이션을 클라우드로 쉽게 이전할 수 있다는 확신을 가질 수 있도록 고객 데이터를 안전하게 유지하도록 지원하고 있다”고 말했다.
구글 클라우드는 고도화된 보안 기술을 기반으로 새로운 컨피덴셜 VM 기능을 발표했다.
- 컴플라이언스 감사 보고서 : 감사 보고서에 컨피덴셜 VM 인스턴스에서 키 생성을 담당하는 AMD 시큐어 프로세서 펌웨어(AMD Secure Processor Firmware)의 무결성(integrity)에 대한 상세 로그가 포함된다. 구글 클라우드는 사용자가 VM을 처음 시작할 때 무결성 기준선을 설정하고 VM을 재시작할 때마다 이를 기준선과 대조한다. 사용자는 이러한 로그를 기반으로 사용자 지정 작업이나 경고를 설정할 수 있다.
- 컨피덴셜 컴퓨팅 리소스에 대한 새로운 정책 제어 : ID 및 액세스 관리 조직 정책(IAM Org Policy)을 이용해 컨피덴셜 VM에 대한 구체적인 접근 권한을 정의할 수 있다. 또한 프로젝트에서 실행 중인 안전하지 않은 VM 사용을 중지시키는 것도 가능하다. 이 정책이 적용되면 프로젝트 내 안전하지 않은 VM을 시작할 수 없게 된다. 구글 클라우드가 컨피덴셜 컴퓨팅을 제공하는 서비스를 확장하면서 이러한 정책으로 프로젝트 및 폴더 또는 조직에서 실행하고 싶은 컨피덴셜 컴퓨팅 리소스를 제어할 수 있다.
- 다른 시행 메커니즘과의 통합 : 공유 VPC(Virtual Private Cloud), 조직 정책 제약조건, 방화벽 규칙을 조합해 컨피덴셜 VM이 다른 프로젝트 안에서 가동 중일 때도 컨피덴셜 VM끼리만 통신할 수 있도록 지원한다. 또한 VPC 서비스 제어(VPC Service Control)를 이용해 컨피덴셜 VM에 대한 구글 클라우드 플랫폼(Google Cloud Platform, GCP) 리소스 경계를 정의할 수 있다. 예를 들어 컨피덴셜 VM 서비스 계정으로만 접근할 수 있는 구글 클라우드 스토리지 버킷을 구성하는 것이 가능해진다.
- 컨피덴셜 VM과 안전하게 기밀정보 공유 : 컨피덴셜 VM을 이용하는 동안 외부 키를 이용해 암호화된 민감한 파일을 처리해야 하는 경우가 발생한다. 이 때 파일 암호문과 암호 키는 컨피덴셜 VM과 공유해야 한다. 컨피덴셜 VM은 이러한 기밀정보를 안전하게 공유하기 위해 가상 신뢰 플랫폼 모듈(Virtual Trusted Platform Module, vTPM)을 이용한다. 또한 go-tpm 오픈소스 라이브러리를 사용하면 API를 이용해 컨피덴셜 VM의 vTPM과 연동할 수 있다.
양승도 구글 클라우드 코리아 커스터머 엔지니어링 총괄은 “클라우드 컴퓨팅은 기업의 데이터가 클라우드 제공업체나 내부자에게 노출되지 않도록 암호화된 비공개 서비스 형태로 발전하게 될 것”이라며 “메모리와 같은 CPU 외부에서도 데이터를 처리하는 동시에 암호화하는 컨피덴셜 컴퓨팅은 차세대 미래 보안 기술이다. 구글 클라우드는 기업이 클라우드에서 데이터를 처리하면서 기밀성과 개인정보보호를 유지하는 방식을 혁신하며 클라우드 보안의 새로운 기준을 만들어 갈 것”이라고 말했다.
구글 클라우드 컨피덴셜 GKE 노드는 GKE1.18 출시와 함께 곧 베타 버전으로 출시될 예정이며, 설문에 등록한 고객은 자세한 정보와 출시 시기에 대해 업데이트 받을 수 있다. 컨피덴셜 VM은 웹사이트에서 지금 바로 사용 가능하다.
