La technologie de l'informatique confidentielle protège les données pendant le traitement. Le contrôle exclusif des clés de chiffrement renforce la sécurité des données de bout en bout dans le cloud.
L'informatique confidentielle est une technologie de cloud computing qui isole les données sensibles dans une enclave du processeur qui est protégée pendant le traitement. Le contenu de l'enclave - c'est-à-dire les données en cours de traitement et les techniques utilisées pour les traiter - n'est accessible qu'au code de programmation autorisé. Il reste invisible et inaccessible pour tous, y compris le fournisseur du cloud.
Alors que les chefs d'entreprise s'appuient de plus en plus sur les services de cloud public et de cloud hybride , la confidentialité des données dans le cloud est devenue est un impératif. L'objectif principal de l'informatique confidentielle est de garantir aux dirigeants que leurs données dans le cloud sont protégées et confidentielles, et de les encourager à transférer une plus grande partie de leurs données sensibles et de leurs charges de travail de traitement vers des services de cloud public .
Depuis des années, les fournisseurs de services cloud proposent des services de chiffrement pour protéger les données au repos (en stockage et dans les bases de données) et les données en transit (passant par une connexion réseau). L'informatique confidentielle élimine la dernière vulnérabilité en matière de sécurité des données en protégeant les données en cours d'utilisation , c'est-à-dire pendant le traitement ou l'exécution.
Avant de pouvoir être traitées par une application, les données ne doivent pas être chiffrées en mémoire. Les données sont donc vulnérables, juste avant le traitement, pendant le traitement et juste après : elles sont exposées aux vidages de mémoire, aux compromissions de l'utilisateur root et à d'autres exploits malveillants.
L'informatique confidentielle résout ce problème à l'aide d'un environnement d'exécution sécurisé (TEE) basé sur le matériel. Le TEE est une enclave sécurisée au sein d'un processeur. Le TEE est sécurisé à l'aide de clés de chiffrement intégrées. Des mécanismes d'attestation intégrés garantissent que les clés ne sont accessibles qu'au code d'application autorisé. Si un logiciel malveillant ou un autre code non autorisé tente d'accéder aux clés, ou si le code autorisé est piraté ou altéré de quelque manière que ce soit, le TEE refuse l'accès aux clés et annule le traitement.
De cette façon, les données sensibles restent protégées en mémoire jusqu'à ce que l'application demande au TEE de les déchiffrer pour pouvoir les traiter. Pendant le déchiffrement et tout au long du processus de traitement, les données sont invisibles pour le système d'exploitation (ou pour l'hyperviseur d'une machine virtuelle), pour les autres ressources de la pile de traitement, ainsi que pour le fournisseur cloud et ses employés.
En 2019, un groupe de fabricants de processeurs, de fournisseurs cloud et d'éditeurs de logiciels - Alibaba, AMD, Baidu, Fortanix, Google, IBM/Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent et VMware - a formé le CCC (Confidential Computing Consortium) (lien externe au site d'IBM), sous les auspices de la Fondation Linux.
Les objectifs du CCC consistent à définir des normes industrielles pour l'informatique confidentielle et à promouvoir le développement d'outils open source d'informatique confidentielle. Deux des premiers projets open source du Consortium, Open Enclave SDK et Red Hat Enarx, aident les développeurs à créer des applications qui fonctionnent sans modification sur les plateformes TEE.
Cependant, certaines des technologies d'informatique confidentielle les plus répandues aujourd'hui ont été introduites par des entreprises membres avant même la formation du Consortium. Par exemple, la technologie Intel SGX (Software Guard Extensions), qui permet la mise en place d'un environnement TEE sur la plateforme du processeur Intel Xeon, est disponible depuis 2016. En 2018, IBM a commercialisé des fonctionnalités d'informatique confidentielle avec ses produits IBM Cloud® Hyper Protect Virtual Servers et IBM Cloud® Data Shield.
IBM investit dans la recherche et les technologies de l'informatique confidentielle depuis plus de dix ans et propose aujourd'hui une gamme de services cloud d'informatique confidentielle, associés à des solutions de protection des données sophistiquées :
Pour commencer à utiliser l'informatique confidentielle sur IBM Cloud, inscrivez-vous pour obtenir un IBMid et créez votre compte IBM Cloud.
Renforcez votre garantie de confidentialité commerciale. Protégez vos données au repos, en transit et en utilisation, avec une totale maîtrise.
Un service dédié de gestion des clés et de module cloud de sécurité matérielle (HSM).
Activez le chiffrement de la mémoire d'exécution pour les conteneurs Kubernetes, sans modifier les applications.
Créez des charges de travail HPC sur l'infrastructure IBM Cloud® VPC, à l'aide de processeurs Intel Xeon et du logiciel IBM Spectrum®.