구글 클라우드가 지난 7월 구글 클라우드 넥스트 ‘20: 온에어 시작과 함께 발표한 컨피덴셜 컴퓨팅(Confidential Computing) 포트폴리오를 확장한다. 구글 클라우드는 ‘컨피덴셜 GKE 노드(Confidential GKE Nodes)’ 베타 버전을 새롭게 출시하고 베타 버전이었던 ‘컨피덴셜 VM(Confidential VM)’를 상용화하며 새로운 기능을 소개할 예정이다.

구글 클라우드는 컨테이너화 된 워크로드에 새로운 수준의 기밀성(confidentiality)과 이동성(portability)을 제공하기 위해 구글 클라우드 컨피덴셜 컴퓨팅 포트폴리오를 더욱 확장하고 있다. 고객이 기존 애플리케이션을 현대화하고 클라우드 네이티브 애플리케이션을 구축하면서 구글 쿠버네티스 엔진(Google Kubernetes Engine, GKE)은 기반 기술로서 더욱 주목 받게 됐다.

구글 클라우드 컨피덴셜 GKE 노드는 기업이 GKE 기반의 쿠버네티스 클러스터를 사용하고 싶을 때 기밀 워크로드에 추가 옵션을 제공한다. 이 솔루션은 컨피덴셜 컴퓨팅 포트폴리오의 첫번째 제품인 컨피덴셜 VM과 동일한 기술을 기반으로 구축되었으며 AMD 에픽(EPYC) CPU가 생성 및 관리하는 노드별 전용 키를 사용해 데이터를 메모리에 암호화된 상태로 유지할 수 있다.

사용자는 컨피덴셜 GKE 노드를 이용해 컨피덴셜 VM 기능이 있는 노드 풀만 배포하도록 GKE 클러스터를 구성할 수 있다. 컨피덴셜 GKE 노드가 활성화된 클러스터의 모든 작업자 노드는 자동으로 컨피덴셜 VM만을 사용하게 된다. GKE 컨피덴셜 노드는 AMD 에픽 CPU의 AMD 시큐어 암호화 가상화(AMD Secure Encrypted Virtualization) 기능으로 구동되는 하드웨어 메모리 암호화를 이용해 컨피덴셜 노드에서 실행되고 있는 워크로드를 사용 중 암호화한다.

신규 기능

구글 클라우드는 다양한 격리(isolation) 및 샌드박스 기술(sandboxing technique)을 활용해 멀티 테넌트(multi-tenant) 아키텍처를 안전하게 보호한다. 컨피덴셜 VM은 메모리 암호화를 사용해 워크로드와 테넌트를 서로 분리하고 클라우드 인프라로부터 격리함으로써 보안의 수준을 높인다. 또한 구글 컴퓨트 엔진(Google Compute Engine)에서 워크로드에서 사용되는 메모리를 보호하기 위해 리프트 앤 시프트(lift-and-shift) 방식 및 새로 생성된 워크로드에 사용이 편리한 옵션을 제공한다.

컨피덴셜 VM은 가장 까다로운 컴퓨팅 작업에 높은 성능을 제공하면서 AMD 에픽 CPU의 AMD 시큐어 프로세서가 생성 및 관리하는 전용 VM별 인스턴스 키를 이용해 VM 메모리를 암호화된 상태로 유지한다. 컨피덴셜 VM은 240 가상 CPU(vCPU)와 896 기비바이트(GiB) 메모리로 확장 가능하고 큰 성능 저하 없이 사용할 수 있다.

라구 남비아르(Raghu Nambiar) AMD 데이터센터 에코시스템 부문 기업 부사장은 “AMD 에픽 CPU의 고급 보안 기능인 시큐어 암호화 가상화를 구글 클라우드 컨피덴셜 VM에서 컨피덴셜 GKE 노드에서도 선보일 수 있게 돼 기쁘다”며 “AMD는 AMD 에픽 CPU와 구글 클라우드의 컨피덴셜 컴퓨팅 포트폴리오와 함께 고객이 애플리케이션을 클라우드로 쉽게 이전할 수 있다는 확신을 가질 수 있도록 고객 데이터를 안전하게 유지하도록 지원하고 있다”고 말했다.