Melindungi data yang digunakan: Mengintegrasikan komputasi rahasia ke Red Hat OpenShift dan Kubernetes di IBM Cloud

Komputasi rahasia melindungi data selama pemrosesan dengan mengisolasi beban kerja di dalam lingkungan eksekusi tepercaya berbasis perangkat keras (TEE), memastikan bahkan operator cloud tidak dapat mengaksesnya.

diterbitkan 10 November 2025
IBM mengumumkan pratinjau teknologi kontainer sandbox Red Hat OpenShift di IBM Cloud, membawa perlindungan tambahan ini ke Kubernetes dan Red Hat OpenShift on IBM Cloud.

Perusahaan dapat menjalankan beban kerja sensitif atau yang diatur ketat dengan lebih aman yang memanfaatkan jaminan teknis untuk data yang digunakan di lingkungan kontainer dengan kontainer rahasia yang diaktifkan oleh fitur ini.

Mengapa hal ini penting bagi perusahaan

Ketika adopsi hybrid dan multi-cloud makin cepat, perlindungan terhadap data yang sedang tidak aktif dan data dalam transit sudah mapan. Namun, batas berikutnya adalah mengamankan data yang digunakan. Kontainer rahasia mengisolasi beban kerja di dalam lingkungan eksekusi tepercaya (TEE), memastikan bahwa bahkan administrator infrastruktur atau platform yang memiliki hak istimewa tidak dapat melihat atau merusak beban kerja kontainer yang sedang berjalan.

Untuk perusahaan besar dan insinyur infrastruktur cloud, ini berarti Anda dapat:

  • Beban kerja sensitif: Menjalankan beban kerja sensitif—seperti inferensi model AI/ML, pemrosesan keuangan, penanganan data teratur—dengan jaminan isolasi yang lebih kuat.
  • Pemisahan tugas: Pertahankan prinsip zero-trust dan pemisahan tugas, di mana platform atau operator cloud tidak dapat “mengintip” kontainer Anda saat waktu proses.
  • Menambahkan keamanan: Memanfaatkan alat kontainer (Kubernetes) yang ada dengan gangguan minimal, sambil menambahkan batasan keamanan berbasis perangkat keras.

Selain itu, melalui kemampuan kontainer sandbox Red Hat OpenShift, Anda dapat:

  • Beban kerja tidak tepercaya:Menjalankan beban kerja istimewa atau tidak tepercaya dengan lebih aman yang memerlukan kemampuan kernel atau hak akses root yang ditingkatkan tanpa mempertaruhkan keamanan node klaster.
  • Isolasi kernel: Mencapai isolasi kernel untuk beban kerja yang membutuhkan penyetelan kernel khusus, modul, atau fitur jaringan tingkat rendah.
  • Lingkungan multi-penyewa: Mendukung lingkungan multi-penyewa dengan mengisolasi beban kerja dari organisasi atau vendor yang berbeda, menghindari konflik konfigurasi “tetangga yang bising”.
  • Penahanan sumber daya: Menegakkan pembatasan sumber daya melalui batasan VM, memastikan kontrol akses yang lebih mendetail atas CPU, memori, penyimpanan, dan jaringan.

Apa saja yang termasuk dalam pratinjau teknologi

Dalam rilis pratinjau awal di IBM Cloud ini, kontainer rahasia diaktifkan oleh fitur kontainer sandbox Red Hat OpenShift yang terintegrasi dengan IBM Cloud.

Fitur utama meliputi:

  • Isolasi yang didukung perangkat keras: Menggunakan dengan Intel Trusted Domain Extensions (TDX) melindungi memori dan status kontainer dari pengamat eksternal (termasuk hypervisor atau admin host).
  • Kontrak, kebijakan, dan mekanisme pengesahan terenkripsi: Memverifikasi integritas waktu proses dan kepatuhan.
  • Integrasi mulus dengan tumpukan teknologi Red Hat OpenShift: Memungkinkan pengembang dan operator untuk menerapkan ke dalam pod rahasia menggunakan alur kerja yang sudah dikenal.
  • Dukungan untuk contoh penggunaan yang peka terhadap peraturan dan kepatuhan: Mendukung pipeline AI/ML dengan perlindungan IP dan isolasi multi-penyewa.
  • Isolasi beban kerja dengan hak istimewa: Jalankan beban kerja yang membutuhkan kemampuan kernel khusus atau hak istimewa akses root dengan aman di dalam mesin virtual yang ringan.
  • Penyesuaian tingkat kernel: Mendukung beban kerja yang memerlukan penyetelan kernel khusus atau modul tanpa memengaruhi beban kerja klaster lainnya.
  • Isolasi sumber daya default: Batasan VM mencegah beban kerja yang salah mengonsumsi sumber daya yang berlebihan atau mengakses perangkat yang tidak sah.

Apa yang harus Anda ketahui sebelum memulai

Kemampuan ini tersedia sebagai pratinjau teknologi, sehingga mungkin ada batasan dalam dukungan wilayah, penskalaan, atau kelengkapan fitur. Selain itu, integrasi dengan CI/CD Anda yang ada, registry kontainer, layanan pengesahan, dan sistem identitas akan diperlukan untuk mendapatkan manfaat penuh dari fitur kerahasiaan.

Beberapa overhead kinerja startup dibandingkan dengan kontainer standar dengan penyesuaian dalam batasan perlindungan yang lebih kuat dan lapisan baru segmentasi kinerja.

IBM tidak mengenakan biaya tambahan untuk kontainer rahasia: tarif standar Red Hat OpenShift on IBM Cloud dan tarif IBM Cloud Virtual Server Instance berlaku untuk setiap pod rahasia. Anda dapat membuat image Mesin Virtual Rahasia (CVM) Anda sendiri, tetapi IBM tidak memberikan dukungan untuk image yang dibuat khusus. Untuk pengesahan produksi, gunakan Intel Trust Authority dengan izin jaringan yang tepat.

Bergabunglah dalam perjalanan menuju cloud rahasia

Kontainer sandbox Red Hat OpenShift di IBM Cloud hanyalah permulaan. Dengan bereksperimen dengan pratinjau teknologi ini, Anda dapat membantu membentuk masa depan komputasi rahasia untuk beban kerja terkontainerisasi, sehingga memengaruhi kemampuan, integrasi, dan pengoptimalan kinerja yang paling penting bagi perusahaan seperti milik Anda.

Mulai hari ini dengan 3 langkah sederhana:

  1. Terapkan contoh beban kerja rahasia di lingkungan Red Hat OpenShift Anda di IBM Cloud pada operator kontainer sandbox di Red Hat OperatorHub.
  2. Jelajahi alur kerja penerapan, pengesahan, dan isolasi untuk memverifikasi integritas waktu proses yang didukung dengan dokumen IBM Confidential Containers.
  3. Bagikan masukan dan ide Anda kepada tim IBM Cloud untuk memandu tahap pengembangan berikutnya.

Pratinjau ini tidak hanya menggambarkan fitur baru; ini adalah langkah menuju masa depan di mana kepercayaan pada cloud bersifat intrinsik, menyeluruh, dan tidak bergantung pada batasan infrastruktur.

Dengan memperluas perlindungan komputasi rahasia ke waktu proses, kami membuka jalan menuju kelas aplikasi, model kolaboratif, dan inovasi yang sama sekali baru di lingkungan yang sebelumnya dianggap terlalu sensitif untuk cloud. Di masa mendatang, setiap beban kerja, seberapa pun pentingnya, dapat beroperasi dengan aman di lokasi mana pun dan pratinjau teknologi ini adalah gambaran awal dari masa depan itu.

Bersama-sama, kita dapat membangun cloud di mana setiap beban kerja berjalan dengan kepercayaan tanpa kompromi—di mana pun beban kerja diterapkan.

Mulai gunakan kontainer sandbox Red Hat OpenShift di IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

