±¸±Û Ŭ¶ó¿ìµå°¡ Áö³ 7¿ù ±¸±Û Ŭ¶ó¿ìµå ³Ø½ºÆ® ‘20: ¿Â¿¡¾î ½ÃÀÛ°ú ÇÔ²² ¹ßÇ¥ÇÑ ÄÁÇǵ§¼È ÄÄÇ»ÆÃ(Confidential Computing) Æ÷Æ®Æú¸®¿À¸¦ È®ÀåÇÑ´Ù. ±¸±Û Ŭ¶ó¿ìµå´Â ‘ÄÁÇǵ§¼È GKE ³ëµå(Confidential GKE Nodes)’ º£Å¸ ¹öÀüÀ» »õ·Ó°Ô Ãâ½ÃÇÏ°í º£Å¸ ¹öÀüÀ̾ú´ø ‘ÄÁÇǵ§¼È VM(Confidential VM)’¸¦ »ó¿ëÈÇÏ¸ç »õ·Î¿î ±â´ÉÀ» ¼Ò°³ÇÒ ¿¹Á¤ÀÌ´Ù.
ÄÁÇǵ§¼È GKE ³ëµå, ÄÁÇǵ§¼È ÄÄÇ»ÆÃÀ» ÄÁÅ×ÀÌ³Ê ¿öÅ©·Îµå¿¡ Àû¿ë
±¸±Û Ŭ¶ó¿ìµå´Â ÄÁÅ×À̳ÊÈ µÈ ¿öÅ©·Îµå¿¡ »õ·Î¿î ¼öÁØÀÇ ±â¹Ð¼º(confidentiality)°ú À̵¿¼º(portability)À» Á¦°øÇϱâ À§ÇØ ±¸±Û Ŭ¶ó¿ìµå ÄÁÇǵ§¼È ÄÄÇ»Æà Æ÷Æ®Æú¸®¿À¸¦ ´õ¿í È®ÀåÇÏ°í ÀÖ´Ù. °í°´ÀÌ ±âÁ¸ ¾ÖÇø®ÄÉÀ̼ÇÀ» Çö´ëÈÇÏ°í Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀ̼ÇÀ» ±¸ÃàÇÏ¸é¼ ±¸±Û Äí¹ö³×Ƽ½º ¿£Áø(Google Kubernetes Engine, GKE)Àº ±â¹Ý ±â¼ú·Î¼ ´õ¿í ÁÖ¸ñ ¹Þ°Ô µÆ´Ù.
±¸±Û Ŭ¶ó¿ìµå ÄÁÇǵ§¼È GKE ³ëµå´Â ±â¾÷ÀÌ GKE ±â¹ÝÀÇ Äí¹ö³×Ƽ½º Ŭ·¯½ºÅ͸¦ »ç¿ëÇÏ°í ½ÍÀ» ¶§ ±â¹Ð ¿öÅ©·Îµå¿¡ Ãß°¡ ¿É¼ÇÀ» Á¦°øÇÑ´Ù. ÀÌ ¼Ö·ç¼ÇÀº ÄÁÇǵ§¼È ÄÄÇ»Æà Æ÷Æ®Æú¸®¿ÀÀÇ Ã¹¹ø° Á¦Ç°ÀÎ ÄÁÇǵ§¼È VM°ú µ¿ÀÏÇÑ ±â¼úÀ» ±â¹ÝÀ¸·Î ±¸ÃàµÇ¾úÀ¸¸ç AMD ¿¡ÇÈ(EPYC) CPU°¡ »ý¼º ¹× °ü¸®ÇÏ´Â ³ëµåº° Àü¿ë Å°¸¦ »ç¿ëÇØ µ¥ÀÌÅ͸¦ ¸Þ¸ð¸®¿¡ ¾ÏÈ£ÈµÈ »óÅ·ΠÀ¯ÁöÇÒ ¼ö ÀÖ´Ù.
»ç¿ëÀÚ´Â ÄÁÇǵ§¼È GKE ³ëµå¸¦ ÀÌ¿ëÇØ ÄÁÇǵ§¼È VM ±â´ÉÀÌ ÀÖ´Â ³ëµå Ç®¸¸ ¹èÆ÷Çϵµ·Ï GKE Ŭ·¯½ºÅ͸¦ ±¸¼ºÇÒ ¼ö ÀÖ´Ù. ÄÁÇǵ§¼È GKE ³ëµå°¡ È°¼ºÈµÈ Ŭ·¯½ºÅÍÀÇ ¸ðµç ÀÛ¾÷ÀÚ ³ëµå´Â ÀÚµ¿À¸·Î ÄÁÇǵ§¼È VM¸¸À» »ç¿ëÇÏ°Ô µÈ´Ù. GKE ÄÁÇǵ§¼È ³ëµå´Â AMD ¿¡ÇÈ CPUÀÇ AMD ½ÃÅ¥¾î ¾ÏÈ£È °¡»óÈ(AMD Secure Encrypted Virtualization) ±â´ÉÀ¸·Î ±¸µ¿µÇ´Â Çϵå¿þ¾î ¸Þ¸ð¸® ¾Ïȣȸ¦ ÀÌ¿ëÇØ ÄÁÇǵ§¼È ³ëµå¿¡¼ ½ÇÇàµÇ°í ÀÖ´Â ¿öÅ©·Îµå¸¦ »ç¿ë Áß ¾ÏÈ£ÈÇÑ´Ù.
ÄÁÇǵ§¼È VM »ó¿ëÈ¿Í ÇÔ²² ³× °¡Áö ½Å±Ô ±â´É ¹ßÇ¥
±¸±Û Ŭ¶ó¿ìµå´Â ´Ù¾çÇÑ °Ý¸®(isolation) ¹× »÷µå¹Ú½º ±â¼ú(sandboxing technique)À» È°¿ëÇØ ¸ÖƼ Å׳ÍÆ®(multi-tenant) ¾ÆÅ°ÅØó¸¦ ¾ÈÀüÇÏ°Ô º¸È£ÇÑ´Ù. ÄÁÇǵ§¼È VMÀº ¸Þ¸ð¸® ¾Ïȣȸ¦ »ç¿ëÇØ ¿öÅ©·Îµå¿Í Å׳ÍÆ®¸¦ ¼·Î ºÐ¸®ÇÏ°í Ŭ¶ó¿ìµå ÀÎÇÁ¶ó·ÎºÎÅÍ °Ý¸®ÇÔÀ¸·Î½á º¸¾ÈÀÇ ¼öÁØÀ» ³ôÀδÙ. ¶ÇÇÑ ±¸±Û ÄÄǻƮ ¿£Áø(Google Compute Engine)¿¡¼ ¿öÅ©·Îµå¿¡¼ »ç¿ëµÇ´Â ¸Þ¸ð¸®¸¦ º¸È£Çϱâ À§ÇØ ¸®ÇÁÆ® ¾Ø ½ÃÇÁÆ®(lift-and-shift) ¹æ½Ä ¹× »õ·Î »ý¼ºµÈ ¿öÅ©·Îµå¿¡ »ç¿ëÀÌ Æí¸®ÇÑ ¿É¼ÇÀ» Á¦°øÇÑ´Ù.
ÄÁÇǵ§¼È VMÀº °¡Àå ±î´Ù·Î¿î ÄÄÇ»Æà ÀÛ¾÷¿¡ ³ôÀº ¼º´ÉÀ» Á¦°øÇÏ¸é¼ AMD ¿¡ÇÈ CPUÀÇ AMD ½ÃÅ¥¾î ÇÁ·Î¼¼¼°¡ »ý¼º ¹× °ü¸®ÇÏ´Â Àü¿ë VMº° ÀνºÅϽº Å°¸¦ ÀÌ¿ëÇØ VM ¸Þ¸ð¸®¸¦ ¾ÏÈ£ÈµÈ »óÅ·ΠÀ¯ÁöÇÑ´Ù. ÄÁÇǵ§¼È VMÀº 240 °¡»ó CPU(vCPU)¿Í 896 ±âºñ¹ÙÀÌÆ®(GiB) ¸Þ¸ð¸®·Î È®Àå °¡´ÉÇÏ°í Å« ¼º´É ÀúÇÏ ¾øÀÌ »ç¿ëÇÒ ¼ö ÀÖ´Ù.
¶ó±¸ ³²ºñ¾Æ¸£(Raghu Nambiar) AMD µ¥ÀÌÅͼ¾ÅÍ ¿¡ÄڽýºÅÛ ºÎ¹® ±â¾÷ ºÎ»çÀåÀº “AMD ¿¡ÇÈ CPUÀÇ °í±Þ º¸¾È ±â´ÉÀÎ ½ÃÅ¥¾î ¾ÏÈ£È °¡»óȸ¦ ±¸±Û Ŭ¶ó¿ìµå ÄÁÇǵ§¼È VM¿¡¼ ÄÁÇǵ§¼È GKE ³ëµå¿¡¼µµ ¼±º¸ÀÏ ¼ö ÀÖ°Ô µÅ ±â»Ú´Ù”¸ç “AMD´Â AMD ¿¡ÇÈ CPU¿Í ±¸±Û Ŭ¶ó¿ìµåÀÇ ÄÁÇǵ§¼È ÄÄÇ»Æà Æ÷Æ®Æú¸®¿À¿Í ÇÔ²² °í°´ÀÌ ¾ÖÇø®ÄÉÀ̼ÇÀ» Ŭ¶ó¿ìµå·Î ½±°Ô ÀÌÀüÇÒ ¼ö ÀÖ´Ù´Â È®½ÅÀ» °¡Áú ¼ö ÀÖµµ·Ï °í°´ µ¥ÀÌÅ͸¦ ¾ÈÀüÇÏ°Ô À¯ÁöÇϵµ·Ï Áö¿øÇÏ°í ÀÖ´Ù”°í ¸»Çß´Ù.
±¸±Û Ŭ¶ó¿ìµå´Â °íµµÈµÈ º¸¾È ±â¼úÀ» ±â¹ÝÀ¸·Î »õ·Î¿î ÄÁÇǵ§¼È VM ±â´ÉÀ» ¹ßÇ¥Çß´Ù.
- ÄÄÇöóÀ̾𽺠°¨»ç º¸°í¼: °¨»ç º¸°í¼¿¡ ÄÁÇǵ§¼È VM ÀνºÅϽº¿¡¼ Å° »ý¼ºÀ» ´ã´çÇÏ´Â AMD ½ÃÅ¥¾î ÇÁ·Î¼¼¼ Æß¿þ¾î(AMD Secure Processor Firmware)ÀÇ ¹«°á¼º(integrity)¿¡ ´ëÇÑ »ó¼¼ ·Î±×°¡ Æ÷ÇԵȴÙ. ±¸±Û Ŭ¶ó¿ìµå´Â »ç¿ëÀÚ°¡ VMÀ» óÀ½ ½ÃÀÛÇÒ ¶§ ¹«°á¼º ±âÁؼ±À» ¼³Á¤ÇÏ°í VMÀ» Àç½ÃÀÛÇÒ ¶§¸¶´Ù À̸¦ ±âÁؼ±°ú ´ëÁ¶ÇÑ´Ù. »ç¿ëÀÚ´Â ÀÌ·¯ÇÑ ·Î±×¸¦ ±â¹ÝÀ¸·Î »ç¿ëÀÚ ÁöÁ¤ ÀÛ¾÷À̳ª °æ°í¸¦ ¼³Á¤ÇÒ ¼ö ÀÖ´Ù.
- ÄÁÇǵ§¼È ÄÄÇ»Æà ¸®¼Ò½º¿¡ ´ëÇÑ »õ·Î¿î Á¤Ã¥ Á¦¾î: ID ¹× ¾×¼¼½º °ü¸® Á¶Á÷ Á¤Ã¥(IAM Org Policy)À» ÀÌ¿ëÇØ ÄÁÇǵ§¼È VM¿¡ ´ëÇÑ ±¸Ã¼ÀûÀÎ Á¢±Ù ±ÇÇÑÀ» Á¤ÀÇÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ ÇÁ·ÎÁ§Æ®¿¡¼ ½ÇÇà ÁßÀÎ ¾ÈÀüÇÏÁö ¾ÊÀº VM »ç¿ëÀ» ÁßÁö½ÃÅ°´Â °Íµµ °¡´ÉÇÏ´Ù. ÀÌ Á¤Ã¥ÀÌ Àû¿ëµÇ¸é ÇÁ·ÎÁ§Æ® ³» ¾ÈÀüÇÏÁö ¾ÊÀº VMÀ» ½ÃÀÛÇÒ ¼ö ¾ø°Ô µÈ´Ù. ±¸±Û Ŭ¶ó¿ìµå°¡ ÄÁÇǵ§¼È ÄÄÇ»ÆÃÀ» Á¦°øÇÏ´Â ¼ºñ½º¸¦ È®ÀåÇÏ¸é¼ ÀÌ·¯ÇÑ Á¤Ã¥À¸·Î ÇÁ·ÎÁ§Æ® ¹× Æú´õ ¶Ç´Â Á¶Á÷¿¡¼ ½ÇÇàÇÏ°í ½ÍÀº ÄÁÇǵ§¼È ÄÄÇ»Æà ¸®¼Ò½º¸¦ Á¦¾îÇÒ ¼ö ÀÖ´Ù.
- ´Ù¸¥ ½ÃÇà ¸ÞÄ¿´ÏÁò°úÀÇ ÅëÇÕ: °øÀ¯ VPC(Virtual Private Cloud), Á¶Á÷ Á¤Ã¥ Á¦¾àÁ¶°Ç, ¹æȺ® ±ÔÄ¢À» Á¶ÇÕÇØ ÄÁÇǵ§¼È VMÀÌ ´Ù¸¥ ÇÁ·ÎÁ§Æ® ¾È¿¡¼ °¡µ¿ ÁßÀÏ ¶§µµ ÄÁÇǵ§¼È VM³¢¸®¸¸ Åë½ÅÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÑ´Ù. ¶ÇÇÑ VPC ¼ºñ½º Á¦¾î(VPC Service Control)¸¦ ÀÌ¿ëÇØ ÄÁÇǵ§¼È VM¿¡ ´ëÇÑ ±¸±Û Ŭ¶ó¿ìµå Ç÷§Æû(Google Cloud Platform, GCP) ¸®¼Ò½º °æ°è¸¦ Á¤ÀÇÇÒ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î ÄÁÇǵ§¼È VM ¼ºñ½º °èÁ¤À¸·Î¸¸ Á¢±ÙÇÒ ¼ö ÀÖ´Â ±¸±Û Ŭ¶ó¿ìµå ½ºÅ丮Áö ¹öŶÀ» ±¸¼ºÇÏ´Â °ÍÀÌ °¡´ÉÇØÁø´Ù.
- ÄÁÇǵ§¼È VM°ú ¾ÈÀüÇÏ°Ô ±â¹ÐÁ¤º¸ °øÀ¯: ÄÁÇǵ§¼È VMÀ» ÀÌ¿ëÇÏ´Â µ¿¾È ¿ÜºÎ Å°¸¦ ÀÌ¿ëÇØ ¾ÏÈ£ÈµÈ ¹Î°¨ÇÑ ÆÄÀÏÀ» ó¸®ÇØ¾ß ÇÏ´Â °æ¿ì°¡ ¹ß»ýÇÑ´Ù. ÀÌ ¶§ ÆÄÀÏ ¾ÏÈ£¹®°ú ¾ÏÈ£ Å°´Â ÄÁÇǵ§¼È VM°ú °øÀ¯ÇØ¾ß ÇÑ´Ù. ÄÁÇǵ§¼È VMÀº ÀÌ·¯ÇÑ ±â¹ÐÁ¤º¸¸¦ ¾ÈÀüÇÏ°Ô °øÀ¯Çϱâ À§ÇØ °¡»ó ½Å·Ú Ç÷§Æû ¸ðµâ(Virtual Trusted Platform Module, vTPM)À» ÀÌ¿ëÇÑ´Ù. ¶ÇÇÑ go-tpm ¿ÀǼҽº ¶óÀ̺귯¸®¸¦ »ç¿ëÇϸé API¸¦ ÀÌ¿ëÇØ ÄÁÇǵ§¼È VMÀÇ vTPM°ú ¿¬µ¿ÇÒ ¼ö ÀÖ´Ù.
¾ç½Âµµ ±¸±Û Ŭ¶ó¿ìµå ÄÚ¸®¾Æ Ä¿½ºÅÍ¸Ó ¿£Áö´Ï¾î¸µ ÃÑ°ýÀº “Ŭ¶ó¿ìµå ÄÄÇ»ÆÃÀº ±â¾÷ÀÇ µ¥ÀÌÅÍ°¡ Ŭ¶ó¿ìµå Á¦°ø¾÷ü³ª ³»ºÎÀÚ¿¡°Ô ³ëÃâµÇÁö ¾Êµµ·Ï ¾ÏÈ£ÈµÈ ºñ°ø°³ ¼ºñ½º ÇüÅ·Π¹ßÀüÇÏ°Ô µÉ °Í”À̶ó¸ç “¸Þ¸ð¸®¿Í °°Àº CPU ¿ÜºÎ¿¡¼µµ µ¥ÀÌÅ͸¦ ó¸®ÇÏ´Â µ¿½Ã¿¡ ¾ÏÈ£ÈÇÏ´Â ÄÁÇǵ§¼È ÄÄÇ»ÆÃÀº Â÷¼¼´ë ¹Ì·¡ º¸¾È ±â¼úÀÌ´Ù. ±¸±Û Ŭ¶ó¿ìµå´Â ±â¾÷ÀÌ Å¬¶ó¿ìµå¿¡¼ µ¥ÀÌÅ͸¦ ó¸®ÇÏ¸é¼ ±â¹Ð¼º°ú °³ÀÎÁ¤º¸º¸È£¸¦ À¯ÁöÇÏ´Â ¹æ½ÄÀ» Çõ½ÅÇϸç Ŭ¶ó¿ìµå º¸¾ÈÀÇ »õ·Î¿î ±âÁØÀ» ¸¸µé¾î °¥ °Í”À̶ó°í ¸»Çß´Ù. |