Confidential-Computing-Technologie schützt Daten während der Verarbeitung. Die exklusive Kontrolle über die Verschlüsselungsschlüssel sorgt für eine höhere End-to-End-Datensicherheit in der Cloud.
Confidential Computing ist eine Cloud-Computing-Technologie, bei der sensible Daten während der Verarbeitung in einer geschützten CPU-Enklave isoliert werden. Der Inhalt der Enklave - die verarbeiteten Daten und die zu ihrer Verarbeitung verwendeten Techniken - sind nur für autorisierten Programmiercode zugänglich und für alle anderen, einschließlich Cloud-Anbieter, unsichtbar und nicht bekannt.
Da sich Führungskräfte von Unternehmen immer mehr auf öffentliche und hybride Cloud -Services verlassen, ist der Datenschutz in der Cloud unerlässlich. Das Hauptziel des Confidential Computings besteht darin, den Führungskräften eine größere Sicherheit zu geben, dass ihre Daten in der Cloud geschützt und vertraulich sind, und sie zu ermutigen, mehr ihrer sensiblen Daten und Arbeitslasten in öffentliche Cloud -Services zu verlagern.
Seit Jahren bieten Cloud-Anbieter Verschlüsselungsservices an, um Daten im Ruhezustand (in Speichern und Datenbanken) und bei der Übertragung (über eine Netzwerkverbindung) zu schützen. Confidential Computing beseitigt die verbleibende Schwachstelle in der Datensicherheit, indem es die Daten während der Nutzung, d. h. während der Verarbeitung oder Laufzeit, schützt.
Bevor sie von einer Anwendung verarbeitet werden können, müssen die Daten im Speicher entschlüsselt werden. Dadurch sind die Daten vor, während und nach der Verarbeitung anfällig für Speicherabzüge, die Kompromittierung von Root-Benutzern und andere bösartige Angriffe.
Confidential Computing löst dieses Problem durch den Einsatz einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE), die eine sichere Enklave innerhalb einer CPU darstellt. Die TEE ist durch eingebettete Verschlüsselungsschlüssel gesichert; eingebettete Beglaubigungsmechanismen stellen sicher, dass die Schlüssel nur für autorisierten Anwendungscode zugänglich sind. Wenn Malware oder anderer nicht autorisierter Code versucht, auf die Schlüssel zuzugreifen, oder wenn der autorisierte Code gehackt oder in irgendeiner Weise verändert wird, verweigert die TEE den Zugriff auf die Schlüssel und bricht die Berechnung ab.
Auf diese Weise können sensible Daten im Speicher geschützt bleiben, bis die Anwendung die TEE anweist, sie für die Verarbeitung zu entschlüsseln. Während der Entschlüsselung und während des gesamten Berechnungsprozesses sind die Daten für das Betriebssystem (oder den Hypervisor in einer virtuellen Maschine), für andere Compute-Stack-Ressourcen und für den Cloud-Provider und seine Mitarbeiter unsichtbar.
2019 gründete eine Gruppe von CPU-Herstellern, Cloud-Anbietern und Softwareunternehmen - Alibaba, AMD, Baidu, Fortanix, Google, IBM/Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent und VMware - das Confidential Computing Consortium (CCC) (Link befindet sich außerhalb von ibm.com) unter der Schirmherrschaft der Linux Foundation.
Die Ziele des CCC sind die Festlegung branchenweiter Standards für Confidential Computing und die Förderung der Entwicklung von Open-Source-Tools für Confidential Computing. Zwei der ersten Open-Source-Projekte des Konsortiums, Open Enclave SDK und Red Hat Enarx, unterstützen Entwickler bei der Erstellung von Anwendungen, die ohne Änderungen auf allen TEE-Plattformen laufen.
Einige der heute am weitesten verbreiteten Confidential Computing-Technologien wurden jedoch bereits vor der Gründung des Consortiums von den Mitgliedsunternehmen eingeführt. Die Intel SGX-Technologie (Software Guard Extensions), die TEEs auf der Intel Xeon-CPU-Plattform ermöglicht, ist beispielsweise seit 2016 verfügbar; 2018 hat IBM mit den Produkten IBM Cloud® Hyper Protect Virtual Servers und IBM Cloud® Data Shield Confidential Computing-Funktionen allgemein verfügbar gemacht.
IBM investiert seit mehr als einem Jahrzehnt in die Forschung und Technologien im Bereich Confidential Computing und bietet heute eine Reihe von Cloud-Services für Confidential Computing und damit verbundene, branchenführende Datenschutzfunktionen an:
Um mit dem Confidential Computing auf IBM Cloud zu beginnen, melden Sie sich für eine IBMid an und erstellen Sie Ihr IBM Cloud-Konto.
Erhalten Sie ein höheres Maß an Sicherheit für den kommerziellen Datenschutz. Schützen Sie Ihre Daten im Ruhezustand, bei der Übertragung und bei der Nutzung - mit voller Autorität.
Ein dediziertes Schlüsselmanagement und Cloud-Hardwaresicherheitsmodul-Service (HSM).
Aktivieren Sie die Verschlüsselung des Laufzeitspeichers für Kubernetes-Container, ohne die Anwendungen zu ändern.
Erstellen Sie HPC-Workloads in der IBM Cloud®-VPC-Infrastruktur unter Verwendung von Intel Xeon-Prozessoren und IBM Spectrum®-Software.