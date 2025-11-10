Intelligence artificielle Automatisation informatique

Protégez les données en cours d’utilisation : intégrer le confidential computing à Red Hat OpenShift et Kubernetes sur IBM Cloud

Le confidential computing protège les données pendant leur traitement en isolant les workloads à l’intérieur des environnements d’exécution fiables (TEE) basés sur le matériel, garantissant ainsi que même les opérateurs cloud ne peuvent pas y accéder.

Publié 10 novembre 2025
Illustration d’une personne interagissant avec un écran connecté à des icônes de sécurité et des plateformes en grille

IBM annonce l’avant-première technologique des conteneurs Red Hat OpenShift sandboxed sur IBM Cloud, apportant ces protections supplémentaires à Kubernetes et Red Hat OpenShift on IBM Cloud.

Les entreprises peuvent exécuter des workloads sensibles ou réglementées de manière plus sécurisée, bénéficiant de garanties techniques pour les données utilisées dans des conteneurs avec des conteneurs confidentiels activés par cette fonctionnalité.

Pourquoi cela compte pour les entreprises

Alors que l’adoption des technologies hybrides et multi-cloud s’accélère, la protection des données au repos et des données en transit est bien établie. Mais la prochaine étape est la sécurisation des données en cours d’utilisation. Les conteneurs confidentiels isolent les workloads à l’intérieur des environnements d’exécution sécurisés (TEE), en garantissant que même les administrateurs privilégiés d’infrastructure ou de plateforme ne peuvent pas observer ou altérer les workloads des conteneurs en cours d’exécution.

Pour les grandes entreprises et les ingénieurs en infrastructure cloud, cela inclut :

  • Workloads sensibles : exécutez des workloads sensibles, tels que l’inférence de modèles d’IA/ML, le traitement financier, la gestion de données réglementées, avec des garanties d’isolement renforcées.
  • Séparation des tâches : maintenez la sécurité Zero Trust et les principes de séparation des tâches, de sorte que l’opérateur de la plateforme ou de cloud ne puisse pas « jeter un coup d’œil » à l’intérieur de votre conteneur lors de l’exécution.
  • Ajout de la sécurité : tirez parti de l’outil de conteneur existant (Kubernetes) avec un minimum de perturbations, tout en ajoutant une frontière de sécurité basée sur le matériel.

De plus, grâce à la capacité de conteneurs sandbox de Red Hat OpenShift, vous disposez de :

  • Workloads non fiables : exécutez plus en toute sécurité les workloads privilégiés ou non fiables qui nécessitent des capacités élevées ou des privilèges racine sans risquer la sécurité des nœuds de cluster.
  • Isolation du noyau : obtenez l’isolation du noyau pour les workloads nécessitant un réglage personnalisé du noyau, des modules ou des fonctionnalités réseau de bas niveau.
  • Environnements multi-locataires : prenez en charge les environnements multi-locataires en isolant les workloads de différentes entreprises ou fournisseurs, évitant ainsi les conflits de configuration entre « voisins bruyants ».
  • Confinement des ressources : renforcez le confinement des ressources via les frontières de VM, en garantissant un contrôle d’accès plus fin sur le processeur, la mémoire, le stockage et le réseau.

Ce qui est inclus dans l’aperçu technique

Dans cette version initiale sur IBM Cloud, les conteneurs confidentiels sont activés par la fonctionnalité de conteneurs en bac à sable de Red Hat OpenShift intégrée à IBM Cloud.

En voici les principales caractéristiques :

  • Isolation assistée par matériel : à utiliser avec les extensions Intel Trusted Domain (TDX) pour protéger la mémoire et l’état du conteneur contre tout observateur externe (y compris l’hyperviseur ou les administrateurs de l’hôte).
  • Contrats, politiques et mécanismes d’attestation chiffrés : vérifiez l’intégrité et la conformité de l’exécution.
  • Intégration transparente avec la pile Red Hat OpenShift : permet aux développeurs et aux opérateurs de déployer dans des pods confidentiels en utilisant des workflows familiers.
  • Prise en charge des cas d’utilisation sensibles en matière de réglementation et de conformité : prenez en charge les pipelines IA/ML avec protection IP et isolement multi-locataire.
  • Isolement du workload privilégié : exécutez les workloads nécessitant des capacités spéciales ou des privilèges racine en toute sécurité à l’intérieur de machines virtuelles légères.
  • Personnalisation au niveau du noyau : prise en charge des workloads nécessitant un réglage personnalisé du noyau ou des modules sans impacter les autres workloads du cluster.
  • Isolation des ressources par défaut : les limites de la VM empêchent les workloads erronés de consommer des ressources excessives ou d’accéder à des appareils non autorisés.

Ce que vous devez savoir avant de vous lancer

Disponible en tant qu’aperçu de technologie, il peut donc y avoir des limites dans la prise en charge régionale, la mise à l’échelle ou l’exhaustivité de fonctionnalités. En outre, l’intégration avec vos services existants de CI/CD, les registres de conteneur, d’attestation et vos systèmes d’identité sera nécessaire pour tirer pleinement parti de la fonctionnalité de confidentialité.

Certains frais généraux de performance de démarrage par rapport aux conteneurs standards, avec des compromis liés à une frontière de protection plus solide et à une nouvelle couche de segmentation de performance.

IBM ne facture pas de frais supplémentaires pour les conteneurs confidentiels : les tarifs standard de Red Hat OpenShift on IBM Cloud et d’IBM Cloud Virtual Server Instance s’appliquent à chaque pod confidentiel. Vous pouvez créer votre propre image de machine virtuelle confidentielle (CVM), mais IBM ne fournit pas de support pour les images personnalisées. Pour l’attestation de production, utilisez l’autorité de confiance Intel avec les autorisations de réseau appropriées.

Participez à la transition vers un cloud confidentiel

Les conteneurs en bac à sable Red Hat OpenShift sur IBM Cloud ne sont que le début. En expérimentant cet aperçu technique, vous pouvez contribuer à façonner l’avenir du confidential computing pour les workloads conteneurisés, influençant ainsi les capabilities, d’intégration et de performance qui comptent le plus pour des entreprises comme la vôtre.

Faites les premiers pas aujourd’hui avec 3 étapes simples :

  1. Déployez un exemple de workload confidentiel dans votre environnement Red Hat OpenShift sur IBM Cloud sur un opérateur de conteneur sandbox dans Red Hat OperatorHub.
  2. Découvrir les workflows de déploiement, d’attestation et d’isolement pour vérifier l’intégrité à l’exécution prise en charge par la documentation des conteneurs confidentiels IBM.
  3. Partagez vos commentaires et vos idées avec l’équipe IBM Cloud pour guider la prochaine phase de développement.

Cet aperçu représente bien plus qu’une nouvelle fonctionnalité. C’est un pas vers un avenir où la confiance dans le cloud est intrinsèque, de bout en bout et indépendante des limites de l’infrastructure.

En étendant les protections de confidential computing à l’exécution, nous ouvrons la porte à des catégories entièrement nouvelles d’applications, de modèles de collaboration et d’innovation dans des environnements autrefois considérés comme trop sensibles pour le cloud. La voie à suivre est celle où chaque workload, quelle que soit son importance critique, peut fonctionner en toute sécurité à n’importe quel endroit et cet aperçu technique est un aperçu préliminaire de cet avenir.

Ensemble, nous pouvons construire un cloud où chaque workload fonctionne avec une confiance inébranlable, peu importe où il est déployé.

Lancez-vous avec les conteneurs en bac à sable Red Hat OpenShift sur IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

En savoir plus Découvrez les conteneurs en bac à sable Red Hat OpenShift sur IBM Cloud