GCP推出Shielded GKE节点测试版

Google在其云端平台推出Shielded GKE节点Beta测试版，提供强健且可验证的节点完整性（Integrity），增加GKE节点的安全防护。而Shielded GKE节点则是建立于去年7月所发布的Shielded虚拟机器之上。

Google提到，随着越来越多企业采用容器，使用Kubernetes部署工作负载，新的容器界面需要有特别的防护措施，否则存在漏洞的Kubernetes节点，给骇客广泛的攻击机会，可能以此取得有价值的使用者资料。而这个风险也不仅止于推论阶段，因为在去年就已经有安全研究人员，成功透过Google上的工作节点凭证，取得整个丛集的存取权限。

而Shielded GKE节点强化了底层，增加抵抗各种Rootkit和Bootkit的攻击，确保使用者的节点不被任意窜改，同时也能保护工作负载免于远端攻击或是特权提升等威胁。在Shielded GKE节点中，会对节点操作系统的出处进行确认，透过加密验证检查，确保节点操作系统正在Google资料中心的虚拟机器上运作。

也还会使用进阶平台上的安全功能，像是安全与测量启动（Secure and Measured Boot）、虚拟可信平台模组（vTPM）、可信UEFI固件以及全面性监控等技术，提供进阶Rootkit和Bootkit保护。Shielded GKE节点还使用了可信计算的标准规范，以验证节点启动的完整性并强化节点启动程序。

Shielded GKE节点建构在Google Compute Engine的Shielded虚拟机器上，与Shielded虚拟机器相同的计价方式相同，用户可以免费使用Shielded GKE节点，并能选择Ubuntu或是Container Optimized OS（COS） 节点映像档，执行GKE v1.13.6或更新版本。目前Shielded GKE节点服务已经在所有区域提供。