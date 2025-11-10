Inteligencia artificial Automatización de TI

Proteja los datos en uso: llevar la computación confidencial a Red Hat OpenShift y Kubernetes en IBM Cloud

La computación confidencial protege los datos durante su procesamiento aislando las cargas de trabajo dentro de entornos de ejecución confiables (TEE) basados en hardware, lo que garantiza que ni siquiera los operadores de la nube puedan acceder a ellos.

Publicado 10 noviembre 2025
IBM anuncia la versión preliminar de la tecnología de contenedores de Red Hat OpenShift en IBM Cloud, llevando estas protecciones adicionales a Kubernetes y Red Hat OpenShift en IBM Cloud.

Las empresas pueden ejecutar cargas de trabajo sensibles o reguladas de forma más segura, beneficiándose de las garantías técnicas para los datos en uso en entornos de contenedores con contenedores confidenciales habilitados por esta característica.

Por qué esto es importante para las empresas

A medida que se acelera la adopción de soluciones híbridas y multinube, la protección de los datos en reposo y en tránsito está bien establecida. Pero el siguiente reto es proteger los datos en uso. Los contenedores confidenciales aíslan las cargas de trabajo dentro de entornos de ejecución confiables (TEE), lo que garantiza que ni siquiera los administradores privilegiados de la infraestructura o la plataforma puedan observar o manipular las cargas de trabajo que se ejecutan en los contenedores.

Para las grandes empresas y los ingenieros de infraestructura en la nube, esto significa:

  • Cargas de trabajo sensibles: ejecute cargas de trabajo sensibles, como la inferencia de modelos de IA/ML, el procesamiento financiero, el manejo regulado de datos, con garantías de aislamiento más sólidas.
  • Separación de funciones: mantenga los principios de confianza cero y separación de funciones, en los que la plataforma o el operador de la nube no pueden "mirar dentro" de su contenedor en tiempo de ejecución.
  • Agregar seguridad: aprovechar las herramientas de contenedores existentes (Kubernetes) con una interrupción mínima, al tiempo que agrega un límite de seguridad basado en hardware.

Además, gracias a la capacidad de contenedores aislados de Red Hat OpenShift, obtiene:

  • Cargas de trabajo que no son de confianza: ejecute de forma más segura cargas de trabajo privilegiadas o que no sean de confianza que requieran capacidades elevadas del kernel o privilegios de root sin poner en riesgo la seguridad de los nodos del clúster.
  • Aislamiento del kernel: logre el aislamiento del kernel para las cargas de trabajo que necesitan un ajuste personalizado del kernel, módulos o características de red de bajo nivel.
  • Entornos multiinquilino: admita entornos multiinquilino aislando las cargas de trabajo de diferentes organizaciones o proveedores, evitando conflictos de configuración de "vecino ruidoso".
  • Contención de recursos: implemente la contención de recursos a través de los límites de las VM, lo que garantiza un control de acceso más detallado sobre la CPU, la memoria, el almacenamiento y las redes.

Lo que se incluye en la vista previa técnica

En esta versión preliminar inicial en IBM Cloud, los contenedores confidenciales están habilitados por la característica de contenedores en sandbox de Red Hat OpenShift integrada con IBM Cloud.

Entre sus principales características se incluyen:

  • Aislamiento respaldado por hardware: uso con Intel Trusted Domain Extensions (TDX) que protege la memoria y el estado del contenedor de cualquier observador externo (incluidos los administradores de hipervisor o host).
  • Contratos, políticas y mecanismos de atestación cifrados: verifique la integridad y el cumplimiento del tiempo de ejecución.
  • Integración perfecta con la pila de Red Hat OpenShift: permita a los desarrolladores y operadores desplegar en pods confidenciales mediante flujos de trabajo familiares.
  • Compatibilidad con casos de uso normativos y sensibles al cumplimiento: admita pipelines de IA/machine learning (ML) con protección de IP y aislamiento de múltiples inquilinos.
  • Aislamiento de carga de trabajo privilegiado: ejecute cargas de trabajo que necesiten capacidades especiales del kernel o privilegios de root de forma segura dentro de máquinas virtuales livianas.
  • Personalización a nivel de kernel: admita cargas de trabajo que requieran ajustes o módulos personalizados del kernel sin afectar otras cargas de trabajo del clúster.
  • Aislamiento predeterminado de recursos: los límites de las VM evitan que las cargas de trabajo errantes consuman recursos excesivos o accedan a dispositivos no autorizados.

Lo que debe saber antes de comenzar

Esto está disponible como una vista previa de tecnología, por lo que puede haber límites en el soporte de región, el escalado o la completitud de las características. Además, será necesaria la integración con su CI/CD existente, registro de contenedores, servicios de atestación y sistemas de identidad para beneficiarse plenamente de las características de confidencialidad.

Algunos sobrecostos iniciales en el rendimiento en comparación con los contenedores estándar con compensaciones en un límite de protección más fuerte y una nueva capa de segmentación de rendimiento.

IBM no cobra tarifas adicionales por contenedores confidenciales: se aplican tarifas estándar de Red Hat OpenShift on IBM Cloud e IBM Cloud Virtual Server Instance para cada pod confidencial. Puede crear su propia imagen de máquina virtual confidencial (CVM), pero IBM no proporciona soporte para imágenes personalizadas. Para la atestación de producción, utilice Intel Trust Authority con los permisos de red adecuados.

Únase al camino hacia la nube confidencial

Los contenedores sandbox de Red Hat OpenShift en IBM Cloud son solo el principio. Al experimentar con esta vista previa tecnológica, puede ayudar a dar forma al futuro de la computación confidencial para cargas de trabajo en contenedores, influyendo así en las capacidades, integraciones y optimizaciones de rendimiento que más importan a empresas como la suya.

Empieza hoy con 3 pasos sencillos:

  1. Despliegue una carga de trabajo confidencial de muestra en su entorno de Red Hat OpenShift en IBM Cloud en un operador de contenedores sandbox en el Red Hat OperatorHub.
  2. Explore los flujos de trabajo de despliegue, atestación y aislamiento para verificar la integridad del tiempo de ejecución compatible con IBM Confidential Containers docs.
  3. Comparta su feedback e ideas con el equipo de IBM Cloud para orientar la siguiente fase de desarrollo.

Esta vista previa representa más que una nueva característica. Es un paso hacia un futuro en el que la confianza en la nube sea intrínseca, de extremo a extremo e independiente de los límites de la infraestructura.

Al extender las protecciones de la computación confidencial al tiempo de ejecución, abrimos la puerta a clases de aplicaciones, modelos colaborativos e innovaciones completamente nuevos en entornos que antes se consideraban demasiado sensibles para la nube. El camino por delante es uno en el que cada carga de trabajo, sin importar cuán crítica sea, pueda operar de forma segura en cualquier ubicación y esta vista previa tecnológica es un vistazo temprano de ese futuro.

Juntos, podemos construir una nube donde cada carga de trabajo se ejecuta con confianza inquebrantable, sin importar dónde se despliega.

Primeros pasos con contenedores sandbox de Red Hat OpenShift en IBM Cloud

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

