Proteggi i dati in uso: portare il confidential computing a Red Hat OpenShift e Kubernetes su IBM Cloud

Il confidential computing protegge i dati durante l'elaborazione, isolando i workload all'interno di ambienti di esecuzione affidabili (TEE) basati su hardware, assicurando che nemmeno gli operatori cloud possano accedervi.

Pubblicato 10 novembre 2025
IBM annuncia l'anteprima tecnologica dei container sandbox Red Hat OpenShift su IBM Cloud, portando queste protezioni aggiuntive a Kubernetes e Red Hat OpenShift su IBM Cloud.

Le imprese possono gestire workload sensibili o regolamentati in modo più sicuro, beneficiando di garanzie tecniche per i dati in uso in ambienti containerizzati con container riservati abilitati da questa funzione.

Perché questo è importante per le imprese

Con l'accelerazione dell'adozione di soluzioni ibride e cloud, la protezione dei dati inattivi e dei dati in transito è una pratica consolidata. Ma la prossima frontiera è la protezione dei dati in uso. I container isolano i workload all'interno di ambienti di esecuzione affidabili (TEE), garantendo che anche gli amministratori di infrastrutture o piattaforme privilegiate non possano osservare o manomettere i workload dei container in corso.

Per grandi aziende e ingegneri di infrastrutture cloud, questo significa:

  • Workload sensibili: esegui workload sensibili (come l'inferenza del modello AI/ML, l'elaborazione finanziaria, la gestione dei dati regolamentati) con garanzie di isolamento più forti.
  • Separazione dei doveri: mantieni i principi di zero-trust e separazione dei doveri, in cui la piattaforma o l'operatore cloud non possono "sbirciare all'interno" del tuo container al tempo di esecuzione.
  • Aggiunta di sicurezza: utilizza gli strumenti container esistenti (Kubernetes) con minime interruzioni, aggiungendo al contempo un boundary basato sull'hardware.

Inoltre, grazie alla funzionalità dei container sandbox di Red Hat OpenShift, hai a disposizione:

  • Workload non affidabili: esegui in modo più sicuro workload privilegiati o non affidabili che richiedono capacità kernel elevate o privilegi di root, senza mettere a rischio la sicurezza dei nodi del cluster.
  • Isolamento Kernal: ottieni l'isolamento del kernel per i workload che necessitano di ottimizzazione personalizzata del kernel, moduli o caratteristiche di rete di basso livello.
  • Ambienti multi-tenant: supporta ambienti multi-tenant isolando i workload di diverse organizzazioni o fornitori, evitando conflitti di configurazione causati da "vicini rumorosi".
  • Contenimento delle risorse: applica il contenimento delle risorse tramite i confini delle VM, garantendo un controllo degli accessi più dettagliato su CPU, memoria, storage e rete.

Cosa è incluso nell'anteprima tecnica

In questa versione preliminare su IBM Cloud, i container riservati sono abilitati dalla funzionalità sandbox Red Hat OpenShift basata su container e integrata con IBM Cloud.

Alcune delle caratteristiche principali sono:

  • Isolamento supportato dall'hardware: utilizzo con Intel Trusted Domain Extensions (TDX) per proteggere la memoria e lo stato del container da qualsiasi osservatore esterno (inclusi hypervisor o amministratori dell'host).
  • Contratti, politiche e meccanismi di attestazione criptati: verifica l'integrità e la conformità del tempo di esecuzione.
  • Integrazione con lo stack Red Hat OpenShift: consenti a sviluppatori e operatori di distribuire in pod riservati utilizzando workflow familiari.
  • Supporto per casi d'uso sensibili alle normative e alla conformità: supporta le pipeline AI/ML con protezione IP e isolamento multi-tenant.
  • Isolamento privilegiato del workload: esegui workload che richiedono funzionalità kernel speciali o privilegi root in modo sicuro all'interno di macchine virtuali leggere.
  • Personalizzazione a livello di kernel: supporta workload che richiedono ottimizzazione personalizzata del kernel o moduli senza alcun impatto su altri workload del cluster.
  • Isolamento delle risorse predefinito: i confini delle VM impediscono ai workload irregolari di consumare risorse eccessive o di accedere a dispositivi non autorizzati.

Cosa dovresti sapere prima di iniziare

Questa funzione è disponibile come anteprima tecnologica, quindi potrebbero esserci limitazioni nel supporto regionale, nella scalabilità o nella completezza delle funzionalità. Inoltre, l'integrazione con CI/CD, container registry, servizi di attestazione e sistemi di identità esistenti è necessaria per beneficiare appieno delle funzionalità di confidenzialità.

Un certo sovraccarico delle prestazioni rispetto ai container standard, con compromessi in termini di confini di protezione più rigorosi e un nuovo livello di segmentazione delle prestazioni.

IBM non addebita costi aggiuntivi per i container: i costi standard per Red Hat OpenShift on IBM Cloud e IBM Cloud Virtual Server si applicano per ogni pod riservato. Puoi costruire la tua immagine di macchina virtuale riservata (CVM), ma IBM non supporta immagini create su misura. Per l'attestazione in produzione, utilizza l'Intel Trust Authority con i permessi di rete appropriati.

Unisciti al percorso verso il confidential cloud

I container sandbox Red Hat OpenShift su IBM Cloud rappresentano solo l'inizio. Provando questa anteprima tecnologica, puoi contribuire a modellare il futuro del confidential computing per workload containerizzati, influenzando così le funzionalità, le integrazioni e le ottimizzazioni delle prestazioni che contano di più per le aziende come la tua.

Inizia oggi con 3 semplici passaggi:

  1. Distribuisci un esempio di workload confidenziale nel tuo ambiente Red Hat OpenShift su IBM Cloud su un operatore container in sandbox presente in Red Hat OperatorHub.
  2. Esplora i workflow di distribuzione, attestazione e isolamento per verificare l'integrità del tempo di esecuzione supportata dalla documentazione IBM Confidential Containers.
  3. Condividi i tuoi feedback e idee con il team IBM Cloud per guidare la prossima fase dello sviluppo.

Questa anteprima rappresenta molto più di una nuova funzionalità; è un passo verso un futuro in cui la fiducia nel cloud è intrinseca, end-to-end e indipendente dai confini dell'infrastruttura.

Estendendo le protezioni di confidential computing nel runtime, apriamo la porta a nuove classi di applicazioni, modelli collaborativi e innovazione in ambienti un tempo considerati troppo sensibili per il cloud. Il percorso davanti a noi è quello in cui ogni workload, per quanto critico, possa operare in modo sicuro in qualsiasi luogo e questa anteprima tecnologica rappresenta un primo assaggio di quel futuro.

Insieme possiamo creare un cloud in cui ogni workload viene eseguito con la massima affidabilità, indipendentemente da dove viene implementato.

Inizia con i container sandbox di Red Hat OpenShift su IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

