Qu’est-ce que le confidential computing ?

Mise à jour : le 4 juin 2024
Contributeurs : Mark Scapicchio, Matt Kozinski

Le confidential computing est une technologie de cloud computing qui protège les données pendant leur traitement. Le contrôle exclusif des clés de chiffrement permet de renforcer la sécurité des données de bout en bout dans le cloud.

La technologie de confidential computing isole les données sensibles dans une enclave protégée du CPU pendant le traitement. Les contenus de l’enclave, qui comprennent les données en cours de traitement et les techniques utilisées pour les traiter, n’est accessible qu’aux codes de programmation autorisés. Ils sont invisibles et inconnus pour quoi que ce soit ou qui que ce soit d’autre, y compris du fournisseur de cloud.

Alors que les dirigeants d’entreprise s’appuient de plus en plus sur les services de cloud public et de cloud hybride, la confidentialité des données dans le cloud est un impératif. L’objectif principal du confidential computing est de garantir aux dirigeants que leurs données dans le cloud sont protégées et confidentielles, et de les encourager à transférer davantage de leurs données sensibles et de leurs workloads informatiques vers des services de cloud public .

Depuis des années, les fournisseurs de cloud proposent des services de chiffrement pour sécuriser les données au repos (stockage, bases de données et centres de données) et les données en transit (déplacement par une connexion réseau). Le confidential computing élimine la vulnérabilité de sécurité des données restante en protégeant les données utilisées pendant le traitement ou l’exécution. Les données sont ainsi protégées à chaque étape de leur cycle de vie.

KuppingerCole Leadership Compass pour les plateformes de sécurité des données

Le rapport Leadership Compass offre une vue d’ensemble du marché des plateformes de sécurité des données ainsi que des conseils pour trouver les produits de protection et de gouvernance des données qui répondent aux exigences des clients.

Contenu connexe

Demandez notre rapport sur le coût d’une fuite de données

Comment fonctionne le confidential computing ?

Avant de pouvoir être traitées par une application, les données doivent être décryptées dans la mémoire. Ce processus rend les données vulnérables (avant, pendant et après le traitement) aux vidages de mémoire, aux compromissions par des utilisateurs root et à d’autres exploits malveillants.

Le confidential computing résout ce problème de cybersécurité en utilisant un environnement d’exécution sécurisé (« trusted execution environment » ou TEE) basé sur le matériel, qui est une enclave sécurisée au sein d’un processeur. Le TEE est sécurisé à l’aide de clés de chiffrement intégrées, et des mécanismes d’attestation intégrés garantissent que les clés ne sont accessibles qu’au code d’application autorisé. Si un logiciel malveillant ou tout autre code non autorisé tente d’accéder aux clés, ou si le code autorisé est piraté ou modifié de quelque manière que ce soit, le TEE refuse l’accès aux clés et annule le calcul.

De cette manière, les données sensibles peuvent rester protégées en mémoire jusqu’à ce que l’application demande au TEE de les décrypter pour les traiter. Bien que les données soient déchiffrées tout au long du processus de calcul, elles sont invisibles pour le système d’exploitation, pour l’hyperviseur d’une machine virtuelle (VM), pour d’autres ressources de la pile informatique et pour le fournisseur de services cloud et ses employés.

Pourquoi utiliser le confidential computing ?

Pour protéger les données sensibles même pendant leur utilisation et étendre les avantages du cloud computing aux workloads sensibles. Lorsqu’il est utilisé conjointement avec le chiffrement des données au repos et en transit et avec un contrôle exclusif des clés, le confidential computing élimine le plus grand obstacle au transfert des ensembles de données sensibles ou hautement réglementés et des workloads d’application d’un environnement informatique sur site rigide et coûteux vers un écosystème de cloud public plus flexible et plus moderne.

Pour protéger la propriété intellectuelle. Le confidential computing ne se limite pas à la protection des données. Le TEE peut également être utilisé pour protéger une logique métier propriétaire, des fonctions analytiques, des algorithmes de machine learning ou des applications entières.

Pour collaborer en toute sécurité avec vos partenaires sur de nouvelles solutions cloud. Par exemple, l’équipe d’une entreprise peut combiner ses données sensibles avec les calculs propriétaires d’une autre entreprise pour créer de nouvelles solutions tout en préservant la confidentialité des données. Aucune des deux entreprises n’a besoin de partager contre sa volonté des données ou quelque chose qui relève de la propriété intellectuelle.

Pour éliminer les inquiétudes lors du choix des fournisseurs de cloud. Le confidential computing permet au chef d’entreprise de choisir les services de cloud computing qui répondent le mieux aux exigences techniques et commerciales de son organisation, sans se soucier du stockage et du traitement des données des clients, de la technologie propriétaire et d’autres actifs sensibles. Cette approche permet également d’atténuer les problèmes qui se présentent si le fournisseur de cloud propose des services commerciaux concurrents.

Pour protéger les données traitées en périphérie. L’edge computing est un cadre informatique distribué qui rapproche les applications d’entreprise des sources de données (comme les appareils IdO ou les serveurs edge locaux). Lorsque ce cadre est utilisé comme partie dans un modèle de cloud distribué, les données et les applications aux nœuds périphériques peuvent être protégées par le confidential computing.

The Confidential Computing Consortium

En 2019, un groupe de fabricants de processeurs, de fournisseurs de cloud et d’éditeurs de logiciels (Alibaba, AMD, Baidu, Fortanix, Google, IBM et Red Hat, Intel, Microsoft, Oracle, Swisscom, Tencent et VMware) a formé le Confidential Computing Consortium¹ (CCC) sous les auspices de la Fondation Linux.

Les objectifs du CCC sont de définir des normes sectorielles pour le confidential computing et de promouvoir le développement d’outils de confidential computing open source. Deux des premiers projets open source du Consortium, Open Enclave SDK et Red Hat Enarx, aident les développeurs à créer des applications qui s’exécutent avec ou sans modification sur les plateformes TEE.

Cependant, certaines des technologies de confidential computing les plus utilisées aujourd’hui ont été lancées par des entreprises membres avant la formation du Consortium. Par exemple, la technologie Intel SGX (« Software Guard Extensions »), qui permet l’utilisation des TEE avec les processeurs Intel Xeon, est disponible depuis 2016. IBM dispose de capacités de confidential computing généralement disponibles avec ses serveurs virtuels et bare metal sur IBM Cloud.

Estimez le prix de votre solution IBM Environmental Intelligence Suite en fonction de l’étendue de vos besoins

IBM propose des options de tarification flexibles et des remises sur volume. Demandez un devis prenant en compte vos besoins.

Essentials

Les spécialistes et les développeurs de données peuvent étendre les opérations grâce à des données environnementales précises.
Toutes les opérations peuvent tirer avantage de prévisions météorologiques précises et augmentées par l’IA.

Standard

Surveiller les sites de travail et les zones critiques.
Visualiser et être alerté grâce à des tableaux de bord, des cartes interactives et des alertes en temps réel.
Les conditions météorologiques actuelles et prévues sont générées par l’IA.

Premium

Accélération de l’adaptation au climat et gestion des risques climatiques.
Introduire vos propres données et modèles météorologiques/climatiques.
Configurer des solutions de gestion des risques climatiques à l’aide de tableaux de bord, d’alertes et de workflows exploitables.

Fonctionnalités

Tableaux de bord de suivi de site

Tableaux de bord de démarrage des opérations du secteur

Alertes météo

Services de données météorologiques actuelles, futures et historiques

Prévisions météorologiques probabilistes

Agriculture, énergies renouvelables, services de données saisonniers/sous-saisonniers

Nombre de sites

Comprend 5 sites

- peut aller jusqu’à 25 au total, par incrément d’un site

Nombre d’appels Weather API

Comprend 200 000 appels d’API

- peut aller jusqu’à 1 000 000 au total, par incréments de 20 000

Nombre d’appels History on Demand (HoD) API

Comprend 40 000 appels d’API HoD

- peut aller jusqu’à 200 000 au total, par incréments de 10 000

Les prix calculés sont des estimations fournies à des fins de planification uniquement et tiennent compte des remises IBM potentielles. Ils ne constituent pas une offre officielle d’IBM ni d’un partenaire commercial IBM. L’estimation peut refléter le prix total réduit. Certains facteurs tels que la configuration, les extensions ou les exigences supplémentaires ont une incidence sur le prix final. Les partenaires commerciaux IBM établissent et fournissent leur propre tarification pour IBM EI. IBM et les partenaires commerciaux IBM ne sont en aucun cas liés par l’estimation fournie.

Essentials

Exigence	Droit
Sites	5
Appels d’API	200,000
Appels d’API HoD	40,000

0 USD *

* Les prix indiqués sont hors taxes

NaN

Les prix calculés sont des estimations fournies à des fins de planification uniquement et tiennent compte des remises IBM potentielles. Ils ne constituent pas une offre officielle d’IBM ni d’un partenaire commercial IBM. L’estimation peut refléter le prix total réduit. Certains facteurs tels que la configuration, les extensions ou les exigences supplémentaires ont une incidence sur le prix final. Les partenaires commerciaux IBM établissent et fournissent leur propre tarification pour IBM EIS. IBM et les partenaires commerciaux IBM ne sont en aucun cas liés par l’estimation fournie.

Solutions connexes

IBM Cloud Virtual Server for VPC avec Intel SGX

Contribuez à renforcer la sécurité des applications et à protéger le code et les données sélectionnées contre toute modification avec Intel SGX sur des serveurs virtuels hyper-évolutifs au sein d’IBM Cloud VPC, un réseau privé dans le cloud public.

Découvrir IBM Cloud Virtual Server for VPC

IBM Cloud Hyper Protect Crypto Services

Assurez un contrôle complet des clés de chiffrement des données cloud et des cloud hardware security modules (HSM) certifiés FIPS 140-2 de niveau 4 avec la seule clé « Keep Your Own Key » (KYOK) du secteur pour le chiffrement des données au repos.

Découvrir IBM Cloud Hyper Protect Crypto Services

IBM Cloud Hyper Protect Virtual Servers for VPC

Déployez des workloads essentielles conteneurisées sur le cloud dans un environnement d’exécution fiable avec une assurance technique.

Découvrir les IBM Cloud Hyper Protect Virtual Servers pour VPC

IBM Hyper Protect Virtual Servers for IBM Z and LinuxONE

Créez, déployez et gérez en toute sécurité des applications essentielles pour des implantations de cloud hybride sur IBM Z et LinuxONE en tirant parti de la technologie IBM Secure Execution for Linux.

Découvrez les IBM Hyper Protect Virtual Servers for IBM Z and LinuxOne

Services de sécurité des données et de l’IA

Protection complète et critique de l’IA, des applications et des données d’entreprise

Découvrir les services de sécurité des données et de l’IA

Ressources

Rapport sur le coût d’une fuite de données

Obtenez les dernières informations relatives à l’évolution du paysage des menaces et des recommandations sur la manière de gagner du temps et de limiter les pertes.

Qu’est-ce que la sécurité des données ?

Découvrez comment la sécurité des données implique la protection des informations numériques contre l’accès non autorisé, la corruption ou le vol tout au long de leur cycle de vie.

X-Force Threat Intelligence Index

Responsables de la sécurité des systèmes d’information (RSSI), équipes de sécurité et chefs d’entreprise : trouvez des informations exploitables pour comprendre comment les acteurs malveillants mènent leurs attaques et comment protéger votre organisation de manière proactive.

Passez à l’étape suivante

Le confidential computing avec IBM Cloud comprend une gamme de services issus des Hyper Protect Services et du portefeuille IBM Cloud Virtual Servers basé sur Intel Xeon pour déployer des charges de travail conteneurisées et critiques dans des enclaves isolées avec un contrôle exclusif des clés, ce qui permet de garantir la confidentialité des données et l’intégrité du code.

Découvrir les solutions de confidential computing

Abonnez-vous à la Think Newsletter

Notes de bas de page

¹Confidential Computing Consortium (lien externe à ibm.com), Fondation Linux