La tecnología de informática confidencial protege los datos durante el procesamiento. El control exclusivo de las claves de cifrado ofrece una mayor seguridad de los datos de un extremo a otro en la nube.
La informática confidencial es una tecnología de computación en la nube que aísla datos sensibles en un enclave de CPU protegido durante el procesamiento. El contenido del enclave (los datos que se procesan y las técnicas que se utilizan para procesarlos) son accesibles solo para el código de programación autorizado y son invisibles e incognoscibles para cualquier otra persona, incluido el proveedor de la nube.
A medida que los líderes de la empresa confían cada vez más en el público y los servicios de nube híbrida , la privacidad de los datos en la nube es imperativa. El objetivo principal de la informática confidencial es brindar una mayor garantía a los líderes de que sus datos en la nube están protegidos y son confidenciales, y alentarlos a mover más de sus datos confidenciales y cargas de trabajo de computación a servicios de nube pública .
Durante años, los proveedores de la nube han ofrecido servicios de cifrado para ayudar a proteger los datos en reposo (en almacenamiento y bases de datos) y datosen tránsito (moviéndose a través de una conexión de red). La informática confidencial elimina el resto de las vulnerabilidades de seguridad de datos al proteger los datos en uso, es decir, durante el procesamiento o el tiempo de ejecución.
Antes de que una aplicación pueda procesarlos, los datos deben desencriptarse en la memoria. Esto deja los datos vulnerables antes, durante y después del procesamiento a volcados de memoria, datos del usuario root comprometidos y otras vulnerabilidades maliciosas.
La informática confidencial soluciona este problema al aprovechar un entorno de ejecución confiable basado en hardware, o TEE, que es un enclave seguro dentro de una CPU. El TEE está protegido mediante claves de cifrado integradas; los mecanismos de atestación integrados garantizan que las claves sean accesibles únicamente para el código de aplicación autorizado. Si un malware u otro código no autorizado intenta acceder a las claves, o si el código autorizado es pirateado o alterado de alguna manera, el TEE niega el acceso a las claves y cancela el cálculo.
De esta forma, los datos confidenciales pueden permanecer protegidos en la memoria hasta que la aplicación le indique al TEE que los descifre para su procesamiento. Mientra los datos se descifran y pasan por todo el proceso de cálculo, son invisibles para el sistema operativo (o hipervisor en una máquina virtual ), para otros recursos de la pila de cómputo y para el proveedor de la nube y sus empleados.
En 2019, un grupo de fabricantes de CPU, proveedores de nube y empresas de software (Alibaba, AMD, Baidu, Fortanix, Google, IBM / Red Hat®, Intel, Microsoft, Oracle, Swisscom, Tencent y VMware) formaron el Consorcio de Computación Confidencial (CCC) (enlace externo a ibm.com), bajo los auspicios de The Linux Foundation.
Los objetivos de la CCC son definir los estándares de la industria para la informática confidencial y promover el desarrollo de herramientas informáticas confidenciales de código abierto. Dos de los primeros proyectos de código abierto del Consorcio, Open Enclave SDK y Red Hat Enarx, ayudan a los desarrolladores a crear aplicaciones que se ejecutan sin modificaciones en las plataformas TEE.
Sin embargo, algunas de las tecnologías informáticas confidenciales más utilizadas en la actualidad fueron introducidas por empresas miembros antes de la formación del Consorcio. Por ejemplo, la tecnología Intel SGX (Software Guard Extensions), que habilita TEE en la plataforma de CPU Intel Xeon, ha estado disponible desde 2016; en 2018, IBM hizo que las capacidades informáticas confidenciales estuvieran disponibles de manera general con sus productos IBM Cloud® Hyper Protect Virtual Servers y IBM Cloud® Data Shield.
IBM ha estado invirtiendo en investigación y tecnologías de informática confidencial durante más de una década, y hoy ofrece una gama de servicios en la nube de informática confidencial y capacidades relacionadas de protección de datos líderes en la industria:
Para comenzar a utilizar la informática confidencial en IBM Cloud, regístrese para obtener un IBMid y cree su cuenta de IBM Cloud .
Obtenga un mayor nivel de garantía de privacidad comercial. Proteja sus datos en reposo, en tránsito y en uso, con total autoridad.
Un servicio dedicado de gestión de claves y módulo de seguridad de hardware (HSM) en la nube.
Habilite el cifrado de memoria en tiempo de ejecución para contenedores de Kubernetes, sin modificar las aplicaciones.
Cree cargas de trabajo HPC en la infraestructura de IBM Cloud® VPC, utilizando procesadores Intel Xeon y software IBM Spectrum®.