Startseite
Themen
Confidential Computing
Aktualisiert: 4. Juni 2024
Mitwirkende: Mark Scapicchio, Matt Koziski
Confidential Computing ist eine Cloud-Computing-Technologie, die Daten während der Verarbeitung schützt. Die exklusive Kontrolle über die Chiffrierschlüssel sorgt für eine stärkere durchgängige Datensicherheit in der Cloud.
Die Technologie des Confidential Computing isoliert sensible Daten während der Verarbeitung in einer geschützten CPU-Enklave. Der Inhalt der Enklave, d. h. die verarbeiteten Daten und die zu ihrer Verarbeitung verwendeten Techniken, sind nur für autorisierte Programmiercodes zugänglich. Sie sind unsichtbar und können von niemandem, auch nicht vom Cloud-Provider, eingesehen werden.
Da Unternehmen zunehmend auf Public- und Hybrid-Cloud-Services zurückgreifen, ist der Datenschutz in der Cloud unerlässlich. Das Hauptziel des Confidential Computing ist es, den Führungskräften mehr Sicherheit zu geben, dass ihre Daten in der Cloud geschützt und vertraulich sind, und sie zu ermutigen, mehr ihrer sensiblen Daten und Workloads in Public-Cloud-Services zu verlagern.
Seit Jahren bieten Cloud-Provider Verschlüsselungsdienste an, um Daten im Ruhezustand (in Speichern, Datenbanken und Rechenzentren) und bei der Übertragung (über eine Netzwerkverbindung) zu schützen. Confidential Computing beseitigt die verbleibende Schwachstelle in der Datensicherheit, indem es Daten während der Verarbeitung oder Laufzeit schützt. So können Daten in jeder Phase ihres Lebenszyklus geschützt werden.
Der „Leadership Compass“-Bericht bietet einen Überblick über den Markt für Datensicherheitsplattformen und gibt Hilfestellung bei der Suche nach den Datenschutz- und Governance-Produkten, die den Kundenanforderungen entsprechen.
Bevor sie von einer Anwendung verarbeitet werden können, müssen die Daten unverschlüsselt im Speicher vorliegen. Dadurch sind die Daten vor, während und nach der Verarbeitung für Speicherabfragen, Root-User-Kompromittierungen und andere bösartige Angriffe anfällig.
Confidential Computing löst diese Cybersecurity-Herausforderung durch den Einsatz einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE), die eine sichere Enklave innerhalb einer CPU darstellt. Die TEE ist mit eingebetteten Chiffrierschlüsseln gesichert. Eingebettete Bestätigungsmechanismen stellen sicher, dass nur autorisierter Anwendungscode Zugriff auf die Schlüssel hat. Wenn Malware oder anderer nicht autorisierter Code auf die Schlüssel zuzugreifen versucht oder wenn der autorisierte Code gehackt oder in irgendeiner Weise verändert wird, verweigert die TEE den Zugriff auf die Schlüssel und bricht den Rechenvorgang ab.
Auf diese Weise können sensible Daten im Speicher geschützt bleiben, bis die Anwendung die TEE mit der Entschlüsselung der Daten für die Verarbeitung beauftragt. Während die Daten während des gesamten Berechnungsprozesses entschlüsselt werden, sind sie für das Betriebssystem, den Hypervisor in einer Virtual Machine (VM), für andere Compute-Stack-Ressourcen und für den Cloud-Service-Anbieter und seine Mitarbeiter unsichtbar.
Um sensible Daten auch während der Nutzung zu schützen und die Vorteile des Cloud Computing auf sensible Workloads auszuweiten. In Verbindung mit der Verschlüsselung von Daten im Ruhezustand und während der Übertragung mit exklusiver Kontrolle über die Schlüssel beseitigt das Confidential Computing das größte Hindernis für die Verlagerung sensibler oder stark regulierter Datensätze und Anwendungs-Workloads von einer unflexiblen, teuren On-Premises-Computing-Umgebung in ein flexibleres und moderneres Public-Cloud-Ökosystem.
Zum Schutz des geistigen Eigentums. Confidential Computing dient nicht nur dem Schutz von Daten. Mithilfe der TEE lassen sich auch geschützte Geschäftslogik, Analysefunktionen, Algorithmen für maschinelles Lernen oder ganze Anwendungen schützen.
Um sicher mit Partnern an neuen Cloud-Lösungen zusammenzuarbeiten. So kann zum Beispiel das Team eines Unternehmens seine sensiblen Daten mit den geschützten Berechnungen eines anderen Unternehmens kombinieren, um neue Lösungen zu entwickeln und dabei die Vertraulichkeit der Daten zu wahren. Keines der Unternehmen muss Daten oder geistiges Eigentum weitergeben, wenn es das nicht möchte.
Um Bedenken bei der Auswahl von Cloud-Anbietern auszuräumen. Confidential Computing ermöglicht es der Unternehmensleitung, die Cloud-Computing-Dienste auszuwählen, die den technischen und geschäftlichen Anforderungen des Unternehmens am besten entsprechen, ohne sich Gedanken über die Speicherung und Verarbeitung von Kundendaten, geschützten Technologien und anderen sensiblen Werten machen zu müssen. Dieser Ansatz trägt auch zur Verringerung zusätzlicher Wettbewerbsbedenken bei, wenn der Cloud-Provider gleichzeitig konkurrierende Geschäftsdienstleistungen anbietet.
Um Daten zu schützen, die am Edge verarbeitet werden. Edge Computing ist ein verteiltes Framework zur Datenverarbeitung, bei dem die Geschäftsanwendungen näher an den Datenquellen sind (beispielsweise IoT-Geräte oder lokale Edge-Server). Wenn dieses Framework als Teil von verteilten Cloud-Mustern verwendet wird, können die Daten und Anwendungen an den Edge-Knoten mit Confidential Computing geschützt werden.
2019 hat eine Gruppe von CPU-Herstellern, Cloud-Providern und Softwareunternehmen (Alibaba, AMD, Baidu, Fortanix, Google, IBM® und Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent und VMware) unter der Schirmherrschaft von The Linux Foundation das Confidential Computing Consortium1 (CCC) gegründet.
Das CCC hat sich zum Ziel gesetzt, branchenweite Standards für das Confidential Computing zu definieren und die Entwicklung von damit verbundenen Open-Source-Tools zu fördern. Zwei der ersten Open-Source-Projekte des Konsortiums, Open Enclave SDK und Red Hat Enarx, helfen Entwicklern bei der Erstellung von Anwendungen, die mit oder ohne Änderungen auf allen TEE-Plattformen laufen.
Einige der heute am weitesten verbreiteten Technologien für vertrauliche Datenverarbeitung wurden jedoch bereits vor der Gründung des Konsortiums von den Mitgliedsunternehmen eingeführt. Die Intel SGX-Technologie (Software Guard Extensions), die den Einsatz von TEEs auf Intel Xeon-Prozessoren ermöglicht, ist zum Beispiel seit 2016 verfügbar. IBM bietet mit seinen virtuellen und Bare Metal Servern der IBM® Cloud allgemein verfügbare Funktionen für das Confidential Computing an.
Erhöhen Sie die Anwendungssicherheit und schützen Sie ausgewählten Code und Daten vor Änderungen mit Intel SGX auf hyper-skalierbaren virtuellen Servern innerhalb von IBM Cloud VPC – einem privaten Netzwerk in der Public Cloud.
Bieten Sie die vollständige Kontrolle über Dechiffrierungsschlüssel für Cloud-Daten und FIPS 140-2 Level 4 zertifizierte Cloud Hardware Security Module (HSM) mit dem branchenweit einzigen KYOK (Keep Your Own Key) für die Datenverschlüsselung im Ruhezustand.
Stellen Sie geschäftskritische Container-Workloads in der Cloud in einer vertrauenswürdigen Ausführungsumgebung mit technischer Sicherheit bereit.
Erstellen, implementieren und verwalten Sie geschäftskritische Anwendungen für hybride Cloud-Implementierungen auf IBM Z und LinuxONE sicher, indem Sie die IBM Secure Execution for Linux-Technologie nutzen.
Umfassender und kritischer Schutz für Unternehmensdaten, Anwendungen und KI.
Hier erhalten Sie die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Erfahren Sie, wie Datensicherheit den Schutz digitaler Informationen vor unbefugtem Zugriff, Beschädigung oder Diebstahl während ihres gesamten Lebenszyklus umfasst.
Chief Information Security Officers (CISOs), Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.
1 Confidential Computing Consortium (Link befindet sich außerhalb von ibm.com), The Linux Foundation