La tecnologia del confidential computing protegge i dati durante l'elaborazione. Il controllo esclusivo delle chiavi di crittografia offre una sicurezza dei dati end-to-end più avanzata nel cloud.
Il confidential computing è una tecnologia di cloud computing che isola i dati sensibili in un'enclave di CPU durante il processo di elaborazione. I contenuti dell'enclave - i dati che vengono elaborati e le tecniche utilizzate per il processo - sono accessibili solo a codice di programmazione autorizzato e sono invisibili e inconoscibili per qualsiasi altro componente o soggetto, compreso il provider cloud.
Dal momento che aziende leader si affidano sempre più a servizi su cloud ibrido e pubblico, la privacy dei dati nel cloud è un'esigenza imprescindibile. L'obiettivo principale del confidential computing è quello di fornire una maggiore garanzia ai leader che i loro dati nel cloud siano protetti e mantenuti riservati e incoraggiarli a spostare più dati sensibili e carichi di lavoro informatici su servizi di cloud pubblico .
Per anni, i provider cloud hanno offerto servizi di crittografia per consentire di proteggere i dati inattivi (in storage e database) e i dati in transito (che passano attraverso una connessione di rete). Il confidential computing elimina la residua vulnerabilità della sicurezza dei dati proteggendo i dati in uso — ovvero, durante l'elaborazione o in fase di runtime.
Prima che possano essere elaborati da un'applicazione, i dati devono essere in chiaro nella memoria. Questo rende i dati vulnerabili, subito prima, durante e subito dopo l'elaborazione, a dump di memoria, compromissioni di utente root e altri utilizzi malevoli.
Il confidential computing risolve questo problema utilizzando efficacemente un ambiente di esecuzione affidabile basato su hardware, o TEE, che è un'enclave sicura all'interno di una CPU. L'ambiente di esecuzione affidabile è protetto utilizzando chiavi di crittografia incorporate; meccanismi di attestazione incorporati garantiscono che le chiavi siano accessibili soltanto al codice applicativo autorizzato. Se malware o altro codice non autorizzato tenta di accedere alle chiavi, o se il codice autorizzato viene violato o alterato in qualsiasi modo, l'ambiente di esecuzione affidabile nega l'accesso alle chiavi e annulla il processo di calcolo.
In questo modo, i dati sensibili possono rimanere protetti in memoria finché l'applicazione indica all'ambiente di esecuzione affidabile di decrittografarli per l'elaborazione. Mentre i dati vengono decrittografati e durante l'intero processo di calcolo, essi sono invisibili al sistema operativo (o all'hypervisor in una macchina virtuale), ad altre risorse dello stack di calcolo e al provider cloud e ai suoi dipendenti.
Nel 2019, un gruppo di produttori di CPU, provider cloud e società di software — Alibaba, AMD, Baidu, Fortanix, Google, IBM/Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent e VMWare — ha formato il Confidential Computing Consortium (CCC) (link esterno a ibm.com), sotto gli auspici di The Linux Foundation.
Gli obiettivi del CCC consistono nel definire standard validi per tutto il settore per il confidential computing e promuovere lo sviluppo di strumenti di confidential computing open source. Due dei primi progetti open source del Consortium, Open Enclave SDK e Red Hat Enarx, aiutano gli sviluppatori a creare applicazioni che si eseguono senza modifiche nelle piattaforme TEE.
Tuttavia, alcune delle tecnologie di confidential computing più utilizzate oggi sono state introdotte dalle società membri prima della formazione del Consortium. Ad esempio, dal 2016 è stata resa disponibile la tecnologia Intel SGX (Software Guard Extensions), che abilita i TEE sulla piattaforma Intel Xeon CPU; nel 2018 IBM ha reso generalmente disponibili le funzionalità di confidential computing con i suoi prodotti Server virtuali IBM Cloud® Hyper Protect e IBM Cloud® Data Shield.
IBM ha investito nella ricerca e nelle tecnologie di confidential computing per più di un decennio e oggi offre una gamma di servizi cloud di confidential computing e di funzionalità di protezione dei dati leader di settore correlate:
Per iniziare ad utilizzare il confidential computing su IBM Cloud, registrati per un IBMid e crea il tuo account IBM Cloud.
Ottieni un livello superiore di garanzia di privacy commerciale. Proteggi i tuoi dati inattivi, in transito e in uso — con autorizzazione completa.
Un servizio dedicato di gestione delle chiavi e HSM cloud.
Abilita la crittografia della memoria di runtime per i container Kubernetes, senza modificare le applicazioni.
Crea carichi di lavoro HPC nell'infrastruttura IBM Cloud® VPC, utilizzando processori Intel Xeon e software IBM Spectrum®.