Shielded VMs: Googles Cloud sichert VMs und Container stärker ab

Mit den sogenannten Shielded VMs will Google die virtuellen Maschinen seiner Kunden vor Bootkits und Rootkits schützen. Für Container, die von Kubernetes verwaltet werden, gibt es künftig eine Authentifizierung, und die Container Registry durchsucht Container nach bekannten Sicherheitslücken.

Artikel veröffentlicht am ,
Google will VMs und Container stärker als bisher absichern.
Google will VMs und Container stärker als bisher absichern. (Bild: Anonymous Account, flickr.com/CC-BY 2.0)

Kunden, die auf Google Cloud Platform virtuelle Maschinen (VMs) einsetzen, sollen sich künftig mit den sogenannten Shielded VMs besser gegen Bootkits und Rootkits absichern können. Unternehmenskunden sollen sich mit den Shielded VMs außerdem vor Remote-Angriffen, vor einer Rechteausweitung durch Angreifer sowie auch gegen bösartige Insider schützen können. Dafür werden verschiedene Techniken bereits auf Ebene der Firmware ansetzen.

Stellenmarkt
  1. Senior Software Developer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  2. Anwendungsentwicklerin / Anwendungsentwickler (m/w/d)
    Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
Detailsuche

Dazu gehören etwa die Nutzung von Secure-Boot, dass das Starten von nicht autorisiertem Code früh in der Boot-Phase verhindern soll, sowie das sogenannte Measured Boot, mit dem die Integrität von Bootloader, Kernel und Treiber bei Boot gewährleistet werden soll. Die dafür notwendigen Schlüssel können in einem sogenannten vTPM erzeugt und sicher abgelegt werden, verspricht Google. Das vTPM ist dabei kompatibel zur TPM-Spezifikation in Version 2.0. Die Integrität dieser VMs kann darüber hinaus jederzeit über den Stackdriver Logging-Dienst oder das übliche Monitoring überprüft werden.

Um Container besser bei ihrem Einsatz abzusichern, bietet Google mit Binary Authorization seinen Kunden eine Möglichkeit sicherzustellen, dass nur noch vertrauenswürdige Container auf der Kubernetes Engine von Google (GKE) ausgerollt werden. Dazu können die Container-Abbilder von festgelegten Authorities signiert werden. Diese Signatur wird beim Ausrollen und Starten der Abbilder verifiziert. Kunden können die Funktion über Richtlinien ihren Bedürfnissen anpassen. Um die Binary Authorization auch in Hybrid-Cloud-Umgebungen umzusetzen, verweist Google auf das Open-Source-Werkzeug Kritis.

Wie viele andere Anbieter auch bietet Google nun außerdem die Möglichkeit, einen Scanner in der Container-Registry zu verwenden, der die genutzten Abbilder automatisch nach bekannten Sicherheitslücken durchsucht und das Ausrollen derartiger Abbilder verhindern können soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /