La tecnología de informática confidencial protege los datos durante el procesamiento. El control exclusivo de las claves de cifrado ofrece una mayor seguridad de los datos de un extremo a otro en la nube.

La informática confidencial es una tecnología de computación en la nube que aísla datos sensibles en un enclave de CPU protegido durante el procesamiento. El contenido del enclave (los datos que se procesan y las técnicas que se utilizan para procesarlos) son accesibles solo para el código de programación autorizado y son invisibles e incognoscibles para cualquier otra persona, incluido el proveedor de la nube.

A medida que los líderes de la empresa confían cada vez más en el público y los servicios de nube híbrida , la privacidad de los datos en la nube es imperativa. El objetivo principal de la informática confidencial es brindar una mayor garantía a los líderes de que sus datos en la nube están protegidos y son confidenciales, y alentarlos a mover más de sus datos confidenciales y cargas de trabajo de computación a servicios de nube pública .

Durante años, los proveedores de la nube han ofrecido servicios de cifrado para ayudar a proteger los datos en reposo (en almacenamiento y bases de datos) y datosen tránsito (moviéndose a través de una conexión de red). La informática confidencial elimina el resto de las vulnerabilidades de seguridad de datos al proteger los datos en uso,   es decir, durante el procesamiento o el tiempo de ejecución.

Antes de que una aplicación pueda procesarlos, los datos deben desencriptarse en la memoria. Esto deja los datos vulnerables antes, durante y después del procesamiento a volcados de memoria, datos del usuario root comprometidos y otras vulnerabilidades maliciosas.

La informática confidencial soluciona este problema al aprovechar un entorno de ejecución confiable basado en hardware, o TEE, que es un enclave seguro dentro de una CPU. El TEE está protegido mediante claves de cifrado integradas; los mecanismos de atestación integrados garantizan que las claves sean accesibles únicamente para el código de aplicación autorizado. Si un malware u otro código no autorizado intenta acceder a las claves,  o si el código autorizado es pirateado o alterado de alguna manera,  el TEE niega el acceso a las claves y cancela el cálculo.

De esta forma, los datos confidenciales pueden permanecer protegidos en la memoria hasta que la aplicación le indique al TEE que los descifre para su procesamiento. Mientra los datos se descifran y pasan por todo el proceso de cálculo, son invisibles para el sistema operativo (o hipervisor en una máquina virtual ), para otros recursos de la pila de cómputo y para el proveedor de la nube y sus empleados.

• Para proteger los datos confidenciales, incluso mientras están en uso , y extender  los beneficios de la computación en la nube para cargas de trabajo sensibles. Cuando se usa junto con el cifrado de datos en reposo y en tránsito con control exclusivo de claves, la informática confidencial elimina la barrera más grande para mover conjuntos de datos sensibles o altamente regulados y cargas de trabajo de aplicaciones de una infraestructura de TI local inflexible y costosa a una   plataforma en la nube  pública más flexible y moderna.
• Para proteger la propiedad intelectual. La informática confidencial no es solo para la protección de datos. El TEE también se puede utilizar para proteger la lógica empresarial propietaria, funciones analíticas, machine learning algoritmos o aplicaciones completas.
• Colaborar de forma segura con socios en nuevas soluciones en la nube . Por ejemplo, el equipo de una empresa puede combinar sus datos confidenciales con los cálculos propios de otra empresa para crear nuevas soluciones, sin que la empresa comparta ningún dato o propiedad intelectual que no quiera compartir.
• Para eliminar preocupaciones al elegir proveedores de nube.  La informática confidencial permite al líder de una empresa elegir los servicios de informática en la nube que mejor se adapten a los requisitos técnicos y comerciales de la organización , sin preocuparse por almacenar y procesar datos de clientes, tecnología patentada y otros activos sensibles. Este enfoque también ayuda a aliviar cualquier inquietud competitiva adicional si el proveedor de la nube también brinda servicios comerciales de la competencia.
• Para proteger los datos procesados en el borde . La computación de borde es una infraestructura de computación distribuida que hace que las aplicaciones empresariales se acerquen a los orígenes de datos, como dispositivos de IoT o servidores locales de borde. Cuando este marco se utiliza como parte de patrones distribuidos en la nube, los datos y la aplicación en los nodos de borde se pueden proteger con informática confidencial.

En 2019, un grupo de fabricantes de CPU, proveedores de nube y empresas de software (Alibaba, AMD, Baidu, Fortanix, Google, IBM / Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent y VMware) formaron el Consorcio de Computación Confidencial (CCC) (enlace externo a ibm.com), bajo los auspicios de The Linux Foundation.

Los objetivos de la CCC son definir los estándares de la industria para la informática confidencial y promover el desarrollo de herramientas informáticas confidenciales de código abierto. Dos de los primeros proyectos de código abierto del Consorcio, Open Enclave SDK y Red Hat Enarx, ayudan a los desarrolladores a crear aplicaciones que se ejecutan sin modificaciones en las plataformas TEE.

Sin embargo, algunas de las tecnologías informáticas confidenciales más utilizadas en la actualidad fueron introducidas por empresas miembros antes de la formación del Consorcio. Por ejemplo, la tecnología Intel SGX (Software Guard Extensions), que habilita TEE en la plataforma de CPU Intel Xeon, ha estado disponible desde 2016; en 2018, IBM hizo que las capacidades informáticas confidenciales estuvieran disponibles de manera general con sus productos IBM Cloud® Hyper Protect Virtual Servers y IBM Cloud® Data Shield.

IBM ha estado invirtiendo en investigación y tecnologías de informática confidencial durante más de una década, y hoy ofrece una gama de servicios en la nube de informática confidencial y capacidades relacionadas de protección de datos líderes en la industria:

• La familia de Servicios en la nube IBM Cloud Hyper Protect permite una protección end-to-end para los procesos comerciales de los clientes en la nube, y se basa en tecnología de enclave seguro que aprovecha el primer y único módulo de seguridad de hardware (HSM) en la nube certificado por FIPS 140-2 Nivel 4¹. La familia incluye IBM Cloud® Hyper Protect Crypto Services, que proporciona un control completo de las claves de cifrado de datos en la nube y los módulos de seguridad del hardware de la nube, y el único Keep Your Own Key (KYOK) de la industria para el cifrado de datos en reposo².
• IBM Cloud Data Shield permite a los usuarios proteger aplicaciones en contenedores en un enclave seguro en un servicio de Kubernetes y clústeres de OpenShift, sin cambios de código. Construido sobre Intel SGX y Fortanix Runtime Encryption Platform, IBM Cloud Data Shield extiende el soporte del lenguaje Intel SGX de C y C ++ a Python y Java, y proporciona aplicaciones SGX para MySQL, NGINX y Vault.
• IBM Cloud® HPC Cluster permite a los clientes crear clústeres de cómputo escalables y de alto rendimiento en IBM Cloud con rapidez y facilidad. Entre otras características de seguridad, IBM Cloud HPC Cluster admite la confidencialidad end-to-end con capacidades de "traer su propio sistema operativo cifrado" y Keep Your Own Key (KYOK).
• Ejecución segura de IBM® para Linux (PDF) habilita un entorno de ejecución confiable (TEE) en entornos de nube híbrida IBM® LinuxONE o IBM Z®.

Para comenzar a utilizar la informática confidencial en IBM Cloud, regístrese para obtener un IBMid y cree su cuenta de IBM Cloud .