Data di aggiornamento: 4 giugno 2024
Autori: Mark Scapicchio, Matt Kozinski
Il Confidential Computing è una tecnologia di cloud computing che protegge i dati durante l'elaborazione. Il controllo esclusivo delle chiavi di crittografia offre una maggiore sicurezza dei dati end-to-end nel cloud.
La tecnologia del confidential computing isola i dati sensibili in un'enclave CPU protetta durante l'elaborazione. I contenuti dell'enclave, che includono i dati oggetto di elaborazione e le tecniche utilizzate per elaborarli, sono accessibili solo ai codici di programmazione autorizzati. Sono invisibili e sconosciuti a chiunque o a qualsiasi altra persona, compreso il provider di cloud.
Poiché i leader aziendali si affidano sempre più a servizi di cloud pubblico e hybrid cloud, la privacy dei dati nel cloud è fondamentale. L'obiettivo principale del confidential computing è quello di fornire ai leader una maggiore garanzia che i loro dati nel cloud siano protetti e riservati e di incoraggiarli a spostare una quantità maggiore di dati sensibili e workload di elaborazione su servizi di cloud pubblico.
Per anni, i provider di cloud hanno offerto servizi di crittografia per proteggere i dati inattivi (in storage, database e data center) e i dati in transito (che si spostano su una connessione di rete). Il confidential computing elimina la vulnerabilità residua della sicurezza dei dati proteggendo i dati in uso durante l'elaborazione o il runtime. I dati sono protetti in ogni fase del loro ciclo di vita.
Il report Leadership Compass fornisce una panoramica del mercato delle piattaforme di sicurezza dei dati, insieme a indicazioni su come trovare i prodotti di protezione e governance dei dati che soddisfano le esigenze dei clienti.
Registrati per il report Cost of a Data Breach
Prima di poter essere elaborati da un'applicazione, i dati devono essere decriptati nella memoria. Ciò rende i dati vulnerabili prima, durante e dopo l'elaborazione, a dump di memoria, compromissioni di utenti root e altri exploit dannosi.
il confidential computing risolve questa sfida di cybersecurity utilizzando un trusted execution environment (TEE) basato su hardware, che è un'enclave sicura all'interno di una CPU. Il TEE è protetto utilizzando chiavi di crittografia integrate; i meccanismi di attestazione integrati assicurano che le chiavi siano accessibili solo al codice dell'applicazione autorizzata. Se un malware o altro codice non autorizzato tenta di accedere alle chiavi, o se il codice autorizzato viene violato o alterato in qualche modo, il TEE nega l'accesso alle chiavi e annulla il calcolo.
In questo modo, i dati sensibili possono rimanere protetti in memoria fino a quando l'applicazione indica al TEE di decifrarli per l'elaborazione. Sebbene i dati vengano decriptati durante l'intero processo di elaborazione, sono invisibili al sistema operativo, all'hypervisor in una macchina virtuale (VM), ad altre risorse dello stack di elaborazione, al provider di cloud e ai dipendenti.
Per proteggere i dati sensibili anche durante l'uso ed estendere i vantaggi del cloud computing ai workload sensibili. Se utilizzato insieme alla crittografia dei dati inattivi e in transito con controllo esclusivo delle chiavi, il confidential computing elimina il più grande ostacolo allo spostamento di set di dati sensibili o altamente regolamentati e workload di applicazioni da un ambiente di elaborazione on-premise rigido e costoso a un ecosistema cloud pubblico più flessibile e moderno.
Per proteggere la proprietà intellettuale. Il confidential computing non serve solo alla protezione dei dati. Il TEE può essere utilizzato anche per proteggere logiche di business proprietarie, funzioni di analytics, algoritmi di machine learning o intere applicazioni.
Per collaborare in modo sicuro con i partner su nuove soluzioni cloud. Ad esempio, il team di un'azienda può combinare i propri dati sensibili con i calcoli proprietari di un'altra azienda per creare nuove soluzioni mantenendo la riservatezza dei dati. Nessuna delle due aziende è tenuta a condividere dati o proprietà intellettuali che non desidera condividere.
Per eliminare le preoccupazioni nella scelta dei provider di cloud. Il confidential computing consente ai leader aziendali di scegliere i servizi di cloud computing che meglio soddisfano i requisiti tecnici e aziendali dell'organizzazione, senza doversi preoccupare di archiviare ed elaborare i dati dei clienti, la tecnologia proprietaria e altre risorse sensibili. Questo approccio aiuta anche ad alleviare eventuali ulteriori problemi di concorrenza se il provider di cloud fornisce anche servizi aziendali concorrenti.
Per proteggere i dati elaborati all'edge. L'edge computing è un framework di calcolo distribuito che avvicina le applicazioni aziendali alle origini di dati, come dispositivi IoT o edge server locali. Quando questo framework viene utilizzato come parte dei pattern di cloud distribuito, i dati e le applicazioni nei nodi edge possono essere protetti con il confidential computing.
Nel 2019, un gruppo di produttori di CPU, provider di cloud e aziende di software (Alibaba, AMD, Baidu, Fortanix, Google, IBM e Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent e VMware) ha costituito il Confidential Computing Consortium1 (CCC) sotto l'egida della Linux Foundation.
Gli obiettivi del CCC sono definire standard di settore per il confidential computing e promuovere lo sviluppo di strumenti di confidential computing open source. Due dei primi progetti open source del consorzio, Open Enclave SDK e Red Hat Enarx, aiutano gli sviluppatori a creare applicazioni che possono essere eseguite con o senza modifiche su piattaforme TEE.
Tuttavia, alcune delle tecnologie di confidential computing più utilizzate oggi sono state introdotte dalle aziende associate prima della formazione del Consorzio. Ad esempio, la tecnologia Intel SGX (Software Guard Extensions), che abilita i TEE sui processori Intel Xeon, è disponibile dal 2016. IBM dispone di funzionalità di confidential computing generalmente disponibili con i suoi server virtuali e bare metal IBM® Cloud.
Aumenta la sicurezza delle applicazioni e proteggi il codice e i dati selezionati dalle modifiche con Intel® SGX® su server virtuali iperscalabili all'interno di IBM Cloud VPC, una rete privata nel cloud pubblico.
Fornisci il controllo completo delle chiavi di crittografia dei dati cloud e dei Cloud Hardware Security Module FIPS 140-2 Livello 4 con l'unico Keep Your Own Key (KYOK) del settore per la crittografia dei dati inattivi.
Distribuisci workload mission-critical containerizzati sul cloud in un ambiente di esecuzione affidabile con garanzia tecnica.
Crea, distribuisci e gestisci in modo sicuro le applicazioni mission-critical per le implementazioni hybrid cloud su IBM Z e LinuxONE, sfruttando la tecnologia IBM Secure Execution for Linux.
Protezione completa e critica per i dati aziendali, le applicazioni e l'AI.
Ottieni gli insight più recenti sul landscape delle minacce in espansione e le raccomandazioni per risparmiare tempo e limitare le perdite.
Scopri come la sicurezza dei dati implica la protezione delle informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita.
Chief Information Security Officer (CISO), team di sicurezza e leader aziendali: trova insight fruibili per comprendere come gli attori delle minacce conducono gli attacchi e per scoprire come proteggere in modo proattivo la tua organizzazione.
1 Confidential Computing Consortium (link esterno a ibm.com), The Linux Foundation