Inteligência artificial Automação de TI

Proteja os dados em uso: trazendo computação confidencial para o Red Hat OpenShift e Kubernetes on IBM Cloud

A computação confidencial protege os dados durante o processamento, isolando as cargas de trabalho em ambientes de execução confiáveis (TEEs) baseados em hardware, garantindo que nem mesmo os operadores de nuvem possam acessá-los.

publicado 10 novembro 2025
Ilustração de uma pessoa interagindo com uma tela conectada a ícones de segurança e plataformas de grade

A IBM anuncia a pré-visualização da tecnologia dos contêineres em área de testes do Red Hat OpenShift no IBM Cloud, trazendo essas proteções adicionais para o Kubernetes e Red Hat OpenShift no IBM Cloud.

As empresas podem executar cargas de trabalho confidenciais ou regulamentadas com mais segurança, beneficiando-se de garantias técnicas para dados em uso em ambientes conteinerizados com contêineres confidenciais habilitados por essa funcionalidade.

Por que isso é importante para as empresas

À medida que a adoção de ambientes híbridos e multinuvem se acelera, a proteção de dados em repouso e em trânsito está bem estabelecida. Mas a próxima fronteira é proteger os dados em uso. Contêineres confidenciais isolam cargas de trabalho dentro de ambientes de execução confiáveis (TEEs), garantindo que nem mesmo os administradores privilegiados de infraestrutura ou plataforma possam observar ou adulterar a execução das cargas de trabalho dos contêineres.

Para grandes empresas e engenheiros de infraestrutura de nuvem, isso significa que você pode:

  • Cargas de trabalho confidenciais: execute cargas de trabalho confidenciais, como inferência de modelos de IA/ML, processamento financeiro, tratamento de dados regulamentados, com garantias de isolamento mais fortes.
  • Separação de função: mantenha zero trust e separação de função, onde o operador de plataforma ou nuvem não pode “espreitar dentro” de seu contêiner em tempo de execução.
  • Adição de segurança: aproveite o contêiner existente (Kubernetes) com o mínimo de interrupção, ao mesmo tempo em que adiciona uma boundary de segurança baseada em hardware.

Além disso, por meio dos recursos de contêineres do Red Hat OpenShift, você pode:

  • Cargas de trabalho não confiáveis: execute com mais segurança cargas de trabalho privilegiadas ou não confiáveis que exigem recursos elevados de kernel ou privilégios de root sem arriscar a segurança do nó do cluster.
  • Isolamento do kernel: obtenha isolamento do kernel para cargas de trabalho que precisam de ajuste personalizado do kernel, módulos ou funcionalidades de rede de baixo nível.
  • Ambientes multilocatário: ofereça compatibilidade com ambientes multilocatário isolando cargas de trabalho de diferentes organizações ou fornecedores, evitando conflitos de configuração de "vizinhos ruidosos".
  • Contenção de recursos: imponha a contenção de recursos por meio de boundaries de VMs, garantindo um controle de acesso mais refinado sobre CPU, memória, armazenamento e rede.

O que está incluído na pré-visualização técnica

Neste lançamento inicial no IBM Cloud, os contêineres confidenciais são habilitados pela funcionalidade de contêineres em áreas de testes do Red Hat OpenShift integrada ao IBM Cloud.

Os principais recursos são:

  • Isolamento apoiado por por hardware: uso com o Intel Trusted Domain Extensions (TDX) para proteger a memória e o estado do contêiner de qualquer observador externo (incluindo hipervisor ou administradores de host).
  • Contratos criptografados, políticas e mecanismos de atestação: verifique a integridade e a conformidade de tempo de execução.
  • Integração com o Red Hat OpenShift stack: permita que desenvolvedores e operadores implementem em pods confidenciais usando fluxos de trabalho familiares.
  • Compatibilidade com casos de uso regulatórios e sensíveis à conformidade: ofereça compatibilidade com pipelines de IA/ML com proteção de IP e isolamento multilocatário.
  • Isolamento de cargas de trabalho privilegiadas: execute cargas de trabalho que precisam de recursos especiais de kernel ou privilégios de root com segurança dentro de máquinas virtuais leves.
  • Personalização em nível de kernel: ofereça compatibilidade com cargas de trabalho que exijam ajuste ou módulos de kernel personalizados sem afetar outras cargas de trabalho do cluster.
  • Isolamento de recursos padrão: os recursos de boundaries de VMs impedem que cargas de trabalho errantes consumam recursos excessivos ou acessem dispositivos não autorizados.

O que você precisa saber antes de começar

Isso está disponível como uma pré-visualização da tecnologia; portanto, pode haver limites na compatibilidade com a região, no escalonamento ou na integralidade de funcionalidades. Além disso, a integração com sua CI/CD existente, container registries, serviços de comprovação e sistemas de identidade será necessária para se beneficiar totalmente dos recursos de confidencialidade.

Alguma sobrecarga de desempenho de startup em comparação com contêineres padrão com trocas em em proteção mais forte de boundaries e uma nova camada de segmentação de desempenho.

A IBM não faz cobranças adicionais por contêineres confidenciais: taxas padrão do Red Hat OpenShift on IBM Cloud e de IBM Cloud Virtual Servers se aplicam para cada pod confidencial. Você pode construir sua própria imagem de Confidential Virtual Machine (CVM), mas a IBM não oferece compatibilidade com imagens criadas sob medida. Para atestado de produção, use o Intel Trust Authority com as permissões de rede adequadas.

Junte-se à jornada para a nuvem confidencial

Os contêineres com áreas de testes do Red Hat OpenShift no IBM Cloud são só o começo. Ao experimentar esta prévia tecnológica, você ajuda a moldar o futuro da computação confidencial para cargas de trabalho conteinerizadas, influenciando assim os recursos, as integrações e as otimizações de desempenho mais importantes para empresas como a sua.

Comece hoje mesmo com três etapas simples:

  1. Implemente um exemplo de carga de trabalho confidencial no seu ambiente Red Hat OpenShift on IBM Cloud em um operador de contêineres com área de testes no Red Hat OperatorHub.
  2. Explore fluxos de trabalho de implementação, atestação e isolamento para verificar a integridade em tempo de execução compatibilidade com documentos IBM Confidential Containers.
  3. Compartilhe seus feedback e ideias com a equipe do IBM Cloud para orientar a próxima fase de desenvolvimento.

Esta prévia representa mais do que apenas uma funcionalidade nova; é um passo em direção a um futuro no qual a confiança na nuvem seja intrínseca, de ponta a ponta e independente das boundaries.

Ao estendermos as proteções de computação confidencial para o tempo de execução, abrimos as portas para classes totalmente novas de aplicação, modelos colaborativos e inovação em ambientes que antes eram considerados confidenciais demais para a nuvem. O caminho a seguir é aquele em que cada carga de trabalho, por mais crítica que seja, possa operar com segurança em qualquer localização e esta prévia técnica é um vislumbre desse futuro.

Juntos, podemos construir uma nuvem em que cada carga de trabalho seja executada com confiança incomparável, não importa onde seja implementada.

Comece a usar contêineres em área de testes do Red Hat OpenShift no IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

Saiba mais Explore os contêineres em área de testes do Red Hat OpenShift na IBM Cloud