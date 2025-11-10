Künstliche Intelligenz IT-Automatisierung

Schutz von Daten während der Nutzung: Confidential Computing mit Red Hat OpenShift und Kubernetes auf IBM Cloud

Confidential Computing schützt Daten während der Verarbeitung, indem Workloads in hardwarebasierten Trusted Execution Environments (TEES) isoliert werden, sodass selbst Cloud-Betreiber nicht auf sie zugreifen können.

Veröffentlicht 10 November 2025
Illustration einer Person, die mit einem Bildschirm interagiert, der mit Sicherheitssymbolen und Rasterplattformen verbunden ist

IBM kündigt die Technologievorschau für Red Hat OpenShift Sandboxed Containers in der IBM Cloud an, mit denen Kubernetes und Red Hat OpenShift in der IBM Cloud diesen zusätzlichen Schutz bieten.

Unternehmen können sensible oder regulierte Workloads sicherer ausführen und profitieren von technischen Garantien für Datennutzung in containerisierten Umgebungen, wobei durch diese Funktion vertrauliche Container ermöglicht werden.

Warum das für Unternehmen wichtig ist

Mit der zunehmenden Verbreitung von Hybrid- und Multi-Cloud-Lösungen ist der Schutz ruhender und übertragener Daten fest etabliert. Die nächste Herausforderung besteht jedoch darin, die Daten während der Nutzung zu sichern. Vertrauliche Container isolieren Arbeitslasten innerhalb vertrauenswürdiger Ausführungsumgebungen (TEEs) und stellen sicher, dass selbst privilegierte Infrastruktur- oder Plattformadministratoren laufende Container-Workloads nicht beobachten oder manipulieren können.

Für große Unternehmen und Cloud-Infrastruktur-Ingenieure bedeutet dies Folgendes:

  • Sensible Workloads: Führen Sie sensible Workloads – wie KI/ML Modellinferenz, Finanzverarbeitung, Verarbeitung regulierter Daten – mit stärkeren Isolationsgarantien aus.
  • Aufgabentrennung: Wenden Sie die Grundsätze von Zero-Trust und Aufgabentrennung an, bei denen der Plattform- oder Cloud-Betreiber während der Laufzeit keinen „Einblick in Ihren Container“ gewähren kann.
  • Zusätzliche Sicherheit: Nutzen Sie vorhandene Container-Tools (Kubernetes) mit minimaler Unterbrechung und fügen Sie gleichzeitig eine hardwarebasierte Sicherheitsgrenze hinzu.

Darüber hinaus können Sie mit der Sandbox-Container-Funktion von Red Hat OpenShift Folgendes erreichen:

  • Nicht vertrauenswürdige Workloads: Führen Sie privilegierte oder nicht vertrauenswürdige Workloads, die erhöhte Kernel-Funktionen oder Root-Berechtigungen erfordern, sicherer aus, ohne die Sicherheit der Clusterknoten zu gefährden.
  • Kern-Isolation: Kern-Isolation für Workloads erreichen, die benutzerdefiniertes Kernel-Tuning, Module oder Low-Level-Netzwerkfunktionen benötigen.
  • Multi-Tenant-Umgebungen: Profitieren Sie von der Unterstützung von Multi-Tenant-Umgebungen durch Isolierung von Workloads aus verschiedenen Unternehmen oder Anbietern, wodurch Konfigurationskonflikte durch „störende Nachbarn“ vermieden werden.
  • Ressourcenbegrenzung: Die Ressourcenbegrenzung wird durch VM-Grenzen VIA Boundary erzwungen, wodurch eine feinere Zugriffskontrolle über CPU, Arbeitsspeicher, Speicher und Netzwerk gewährleistet wird.

Was in der Technologievorschau enthalten ist

In dieser ersten Vorschau-Release auf IBM Cloud werden vertrauliche Container durch die Red Hat OpenShift Sandbox-Container-Funktion aktiviert, die in IBM Cloud integriert ist.

Zu den Hauptmerkmalen gehören:

  • Hardwaregestützte Isolation: Die Verwendung mit Intel Trusted Domain Extensions (TDX) schützt den Speicher und den Zustand des Containers vor externen Beobachtern (einschließlich Hypervisor oder Host-Administratoren).
  • Verschlüsselte Verträge, Richtlinien und Bestätigungsmechanismen: Überprüfen Sie die Laufzeit-Integrität und -Konformität.
  • Nahtlose Integration mit dem Red Hat OpenShift-Stack: Ermöglichen Sie es Entwicklern und Betreibern, in vertrauliche Pods über vertraute Workflows bereitzustellen.
  • Unterstützung für regulatorische und Compliance-sensitive Anwendungsfall: Unterstützen Sie KI/ML-Pipelines mit IP-Schutz und Multi-Tenant-Isolation.
  • Privilegierte Workload-Isolation: Führen Sie Workloads aus, die spezielle Kernel-Funktionen oder Root-Rechte benötigen, und das sicher innerhalb leichter virtueller Maschinen.
  • Anpassung auf Kernel-Ebene: Profitieren Sie von der Unterstützung von Workloads, die eine benutzerdefinierte Kernel-Optimierung oder Module erfordern, ohne andere Cluster-Workloads zu beeinträchtigen.
  • Standard-Ressourcen-Isolation: VM-Grenzen verhindern, dass fehlerhafte Workloads übermäßige Ressourcen verbrauchen oder auf unautorisierte Geräte zugreifen.

Was Sie wissen sollten, bevor Sie anfangen

Diese Version ist als Technologievorschau verfügbar, sodass es möglicherweise Einschränkungen bei der Regionsunterstützung, der Skalierung oder der Vollständigkeit der Funktionen gibt. Darüber hinaus ist die Integration mit Ihren bestehenden CI/CD-Systemen, Container-Registries, Attestierungsdiensten und Identitätssystemen erforderlich, um die Funktionen der Vertraulichkeit voll ausschöpfen zu können.

Ein gewisser Overhead bei der Startleistung im Vergleich zu Standardcontainern, der durch eine stärkere Schutzgrenze und eine neue Leistungssegmentierungsschicht ausgeglichen wird.

IBM erhebt keine zusätzlichen Gebühren für vertrauliche Container: Für jeden vertraulichen Pod gelten die Standard Red Hat OpenShift auf IBM Cloud und IBM Cloud Virtual Server Instance-Gebühren. Sie können Ihr eigenes Confidential Virtual Machine (CVM)-Image erstellen, IBM bietet jedoch keinen Support für kundenspezifisch erstellte Images. Für die Produktionsattestierung verwenden Sie die Intel Trust Authority mit den entsprechenden Netzwerkberechtigungen.

Begeben Sie sich gemeinsam auf die Reise in Richtung Confidential Cloud

Red Hat OpenShift-Sandbox-Container auf IBM Cloud sind erst der Anfang. Durch Experimente mit dieser Tech-Vorschau können Sie die Zukunft des Confidential Computing für containerisierte Workloads mitgestalten und so die Funktionen, Integration und Leistung beeinflussen, die für Unternehmen wie Ihres am wichtigsten sind.

Beginnen Sie heute mit 3 einfachen Schritten:

  1. Stellen Sie eine vertrauliche Beispiel-Workload in Ihrer Red Hat OpenShift Umgebung auf IBM Cloud auf einem isolierten Container-Operator im Red Hat OperatorHub bereit.
  2. Erkunden Sie die Bereitstellungs-, Attestierungs- und Isolierungs-Workflows zur Überprüfung der Laufzeitintegrität, die in den IBM Confidential Container-Dokumenten unterstützt werden.
  3. Teilen Sie Ihr Feedback und Ihre Ideen mit dem IBM Cloud-Team, um die nächste Entwicklungsphase mitzugestalten.

Diese Vorschau stellt mehr als nur eine neue Funktion dar: Sie ist ein Schritt hin zu einer Zukunft, in der Vertrauen in die Cloud intrinsisch, durchgängig und unabhängig von Infrastrukturgrenzen ist.

Indem wir den Schutz von Confidential Computing auf die Laufzeit ausdehnen, öffnen wir die Tür zu völlig neuen Klassen von Anwendungen, Modellen der Zusammenarbeit und Innovation in Umgebungen, die einst als zu empfindlich für die Cloud galten. Der Weg in die Zukunft führt zu einer Zeit, in der jede Workload, egal wie kritisch oder entscheidend, an jedem Ort sicher ausgeführt werden kann, und diese Technologievorschau ist ein erster Einblick in diese Zukunft.

Gemeinsam können wir eine Cloud aufbauen, in der jede Workload mit kompromisslosem Vertrauen läuft – egal, wo sie bereitgestellt wird.

Erste Schritte mit Red Hat OpenShift Containern in IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

Mehr erfahren Entdecken Sie Red Hat OpenShift Sandbox-Container in der IBM Cloud