- 26.09.2020
- Fachbeitrag
- Cloud und Mobile Security
Erweiterung des „Vertrauenskreises“ mit Confidential Computing
Confidential Computing bietet ein Sicherheitsmodell, um die Probleme der nicht vertrauenswürdigen Serverinfrastruktur zu lösen, die den Übergang zur Cloud behindert haben
Geschrieben von Richard Searle

Vertrauen Sie Cloud-Dienstanbietern
Die Bereitstellung vertraulicher Anwendungen und Daten auf Computerplattformen, die sich außerhalb der verwalteten Infrastruktur eines Unternehmens befinden, erfordert Vertrauen in die Hardware und Software des Dienstanbieters, mit der diese Daten verarbeitet und letztendlich geschützt werden.
Confidential Computing
Eine Antwort auf das Problem der Vertrauenswürdigkeit der Cloud war die Entstehung der Trusted Execution Environment (TEE), die zum Konzept des „Confidential Computing“ geführt hat. Branchenführer wie Intel, Microsoft, Google und Red Hat haben sich im Oktober 2019 zum Confidential Computing Consortium (CCC) zusammengeschlossen.
Dies ist die erste branchenweite Initiative, die sich mit der Sicherheit der verwendeten Daten befasst, da sich die heutigen Sicherheitsansätze für die Verschlüsselung hauptsächlich auf ruhende Daten oder Daten während der Übertragung konzentrieren. Die Arbeit des CCC ist besonders wichtig, da Unternehmen mehr Workloads in mehrere Umgebungen verlagern, einschließlich Public Cloud-, Hybrid- und Edge-Umgebungen.
Sichere Enklaven
Eine der wichtigsten TEE-Technologien zur Lösung des Problems des Schutzes der verwendeten Daten sind sichere Enklaven, z. B. die von Intel® Software Guard Extensions (Intel® SGX) eingerichteten geschützten Speicherbereiche. Sichere Enklaven ermöglichen die sichere Ausführung von Anwendungen und werden auf Hardwareebene von der CPU selbst erzwungen. Alle Daten werden im Speicher verschlüsselt und nur während der Verwendung in der CPU entschlüsselt. Die Daten bleiben vollständig geschützt, auch wenn das Betriebssystem, der Hypervisor oder der Root-Benutzer gefährdet sind.
Sichere Enklaven können mithilfe eines Prozesses namens "Bescheinigung" weitere Sicherheitsvorteile bieten, um zu überprüfen, ob die CPU echt ist und ob die bereitgestellte Anwendung die richtige ist und nicht geändert wurde.
Durch den Betrieb in sicheren Enklaven mit Bescheinigung können Benutzer voll und ganz darauf vertrauen, dass der Code wie beabsichtigt ausgeführt wird und die Daten während der Verarbeitung vollständig geschützt sind. Dieser Ansatz ermöglicht es sensiblen Anwendungen, einschließlich Datenanalyse, maschinellem Lernen und künstlicher Intelligenz, sicher in der Cloud zu laufen, ohne die Datenschutzbestimmungen zu verletzen oder die Gefährdung durch proprietäre Algorithmen zu riskieren.
Erweiterung des „Vertrauenskreises“
Das Hauptanliegen der Unternehmen bei der Umstellung auf die Cloud ist weiterhin die Sicherheit. Confidential computing und den Schutz der verwendeten Daten erhalten vertrauliche Anwendungen einen sicheren Ort, der sie vor den heutigen Infrastrukturangriffen schützt.
Confidential computing ist für den Schutz von Cloud-Daten von entscheidender Bedeutung und trägt wesentlich dazu bei, den „Vertrauenskreis“ im Cloud-Computing aufzubauen und zu erweitern. Es werden isolierte Laufzeitumgebungen erstellt, die die Ausführung vertraulicher Anwendungen in einem geschützten Zustand ermöglichen und Cloud-Apps und -Daten bei Verwendung vollständig schützen.
Eine sichere Cloud-Zukunft
Führende Technologieanbieter wie Fortanix haben erkannt, dass Confidential Computing ein Sicherheitsmodell darstellt, mit dem die Probleme nicht vertrauenswürdiger Hardware und Software behoben werden können, die den Übergang in die Cloud behindert haben.
Mit einer wachsenden Anzahl von Anwendungsfällen und steigendem Interesse und steigenden Bereitstellungen werden Confidential Computing Umgebungen zum Schutz von Daten in wachsenden Bereichen wie Industrie 4.0, digitaler Gesundheit, Internet der Dinge (IoT) und föderierten maschinellen Lernsystemen eingesetzt.
Während das Confidential Computing Consortium seine Arbeit fortsetzt, können Einzelpersonen und Unternehmen irgendwann eine vertrauliche Computerarchitektur als Voraussetzung für den Austausch und die Verarbeitung privater Daten erwarten.