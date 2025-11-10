Inteligencia artificial Automatización de TI

Proteja los datos en uso: incorpore la computación confidencial a Red Hat OpenShift y Kubernetes en IBM® Cloud

La computación confidencial protege los datos durante el procesamiento al aislar las cargas de trabajo dentro de entornos de ejecución de confianza (TEE) basados en hardware, garantizando que ni siquiera los operadores de la nube puedan acceder a ellos.

Publicado 10 noviembre 2025
Ilustración de una persona interactuando con una pantalla conectada a iconos de seguridad y plataformas de red

IBM anuncia la vista previa de la tecnología de contenedores aislados de Red Hat OpenShift en IBM Cloud, lo que aporta estas protecciones adicionales a Kubernetes y Red Hat OpenShift on IBM Cloud.

Las empresas pueden ejecutar de forma más segura cargas de trabajo confidenciales o reguladas, beneficiándose de las garantías técnicas para los datos en uso en entornos contenerizados con contenedores confidenciales habilitados por esta característica.

Por qué esto es importante para las empresas

A medida que se acelera la adopción de soluciones híbridas y multinube, la protección de los datos en reposo y en tránsito está ya bien establecida. Pero la próxima frontera es la seguridad de los datos en uso. Los contenedores confidenciales aíslan las cargas de trabajo dentro de entornos de ejecución de confianza (TEE), lo que garantiza que ni siquiera los administradores privilegiados de la infraestructura o la plataforma puedan observar o manipular las cargas de trabajo de los contenedores en ejecución.

Para las grandes empresas y los ingenieros de infraestructuras en la nube, esto significa que puede:

  • Cargas de trabajo confidenciales: ejecute cargas de trabajo confidenciales, como inferencia de modelos de IA/ML, procesamiento financiero y gestión de datos regulados, con garantías de aislamiento más sólidas.
  • Separación de funciones: mantenga los principios de zero trust y separación de funciones, en los que la plataforma o el operador de la nube no pueden “espiar” su contenedor en tiempo de ejecución.
  • Aumento de la seguridad: aproveche las herramientas de contenedores (Kubernetes) existentes con una interrupción mínima, a la vez que añade un límite de seguridad basado en hardware.

Además, a través de la capacidad de contenedores aislados de Red Hat OpenShift, puede:

  • Cargas de trabajo que no son de confianza: ejecute de forma más segura cargas de trabajo privilegiadas o que no sean de confianza que requieran capacidades elevadas del kernel o privilegios de root sin poner en riesgo la seguridad de los nodos del clúster.
  • Aislamiento del kernel: logre el aislamiento del kernel para cargas de trabajo que necesitan ajustes personalizados del kernel, módulos o características de red de bajo nivel.
  • Entornos multiinquilino: admita entornos multiinquilino aislando las cargas de trabajo de diferentes organizaciones o proveedores, evitando conflictos de configuración de “vecino ruidosos”.
  • Contención de recursos: aplique la contención de recursos a través de los límites de las VM, lo que garantiza un control de acceso más preciso sobre la CPU, la memoria, el almacenamiento y la red.

Qué se incluye en la vista previa técnica

En esta versión preliminar inicial en IBM Cloud, los contenedores confidenciales están habilitados por la característica de contenedores aislados de Red Hat OpenShift integrada con IBM Cloud.

Las características clave incluyen:

  • Aislamiento respaldado por hardware: se utiliza con Intel Trusted Domain Extensions (TDX) para proteger la memoria y el estado del contenedor de cualquier observador externo (incluidos los administradores de hipervisores o hosts).
  • Contratos, políticas y mecanismos de certificación cifrados: verifique la integridad y el cumplimiento en tiempo de ejecución.
  • Integración fluida con la pila Red Hat OpenShift: permita a los desarrolladores y operadores implementar en pods confidenciales mediante flujos de trabajo familiares.
  • Compatibilidad con casos de uso sensibles a la normativa y el cumplimiento: admite pipelines de IA/ML con protección de IP y aislamiento multiinquilino.
  • Aislamiento de cargas de trabajo con privilegios: ejecute cargas de trabajo que necesiten capacidades especiales del kernel o privilegios de root de forma segura dentro de máquinas virtuales ligeras.
  • Personalización a nivel de kernel: admita cargas de trabajo que requieran un ajuste personalizado del kernel o módulos sin afectar a otras cargas de trabajo del clúster.
  • Aislamiento de recursos predeterminado: los límites de las VM evitan que las cargas de trabajo erróneas consuman recursos excesivos o accedan a dispositivos no autorizados.

Lo que debe saber antes de empezar

Está disponible como vista previa de tecnológica, por lo que puede haber limitaciones en cuanto a compatibilidad con regiones, escalabilidad o totalidad de características. Además, será necesaria la integración con su CI/CD, registros de contenedores, servicios de certificación y sistemas de identidad existentes para beneficiarse al máximo las características de confidencialidad.

Existe una cierta sobrecarga de rendimiento de arranque en comparación con los contenedores estándar, con compensaciones en cuanto a un límite de protección más fuerte y una nueva capa de segmentación del rendimiento.

IBM no cobra ningún coste adicional por los contenedores confidenciales: se aplican las tarifas estándar de Red Hat OpenShift on IBM Cloud e IBM Cloud Virtual Server Instance para cada pod confidencial. Puede crear su propia imagen de máquina virtual confidencial (CVM), pero IBM no ofrece soporte para imágenes personalizadas. Para la certificación de producción, utilice Intel Trust Authority con los permisos de red adecuados.

Únase al viaje hacia la nube confidencial

Los contenedores aislados de Red Hat OpenShift on IBM Cloud son solo el principio. Al experimentar con esta vista previa tecnológica, puede ayudar a moldear el futuro de la computación confidencial para cargas de trabajo contenerizadas, influyendo así en las capacidades, integraciones y optimizaciones de rendimiento que más importan a empresas como la suya.

Empiece hoy con tres sencillos pasos:

  1. Implemente una carga de trabajo confidencial de muestra en su entorno Red Hat OpenShift on IBM Cloud en un operador de contenedor aislado en Red Hat OperatorHub.
  2. Explore los flujos de trabajo de implementación, certificación y aislamiento para verificar la integridad del tiempo de ejecución con la ayuda de la documentación de IBM Confidential Containers.
  3. Comparta su feedback e ideas con el equipo de IBM Cloud para orientar la siguiente fase de desarrollo.

Esta vista previa representa más que una simple característica: es un paso hacia un futuro en el que la confianza en la nube sea intrínseca, de principio a fin e independiente de los límites de la infraestructura.

Al extender las protecciones de computación confidencial al tiempo de ejecución, abrimos la puerta a clases totalmente nuevas de aplicaciones, modelos de colaboración e innovación en entornos que antes se consideraban demasiado sensibles para la nube. El camino que tenemos por delante es uno en el que todas las cargas de trabajo, por muy críticas que sean, pueden funcionar de forma segura en cualquier lugar, y esta vista previa tecnológica es un primer vistazo a ese futuro.

Juntos, podemos crear una nube en la que todas las cargas de trabajo se ejecuten con una confianza inquebrantable, independientemente de dónde se implementen.

Dé sus primeros pasos con los contenedores aislados de Red Hat OpenShift on IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

