Confidential computing, in combinatie met netwerk- en opslagencryptie, biedt end-to-end gegevensbeveiliging in de cloud en beschermt gegevens tijdens de verwerking.
Of bedrijven nu gebruikmaken van een cloud of van interne datacenters, IT-beveiliging blijft een van de grootste zorgen die ze zich tegenwoordig maken. Daarom hebben bedrijven speciale beveiligingsmechanismen nodig om gevoelige IP- en werklastgegevens te beschermen, ongeacht waar de gegevens zich momenteel bevinden. In het verleden lag de nadruk echter op de bescherming van gegevens in transit en in rust.
Confidential Computing (CC) is er nu op gericht het risico weg te nemen dat alle gegevens gemakkelijk kunnen worden afgeluisterd vanuit het geheugen van apparaten of de cloud. Dit verhoogt het beveiligingsniveau in bedrijven, met name bedrijven die apps via de cloud leveren. Er is momenteel (vanaf begin maart 2021) echter geen honderd procent beveiliging.
Definitie van Confidential Computing Standards
Om CC-standaarden te definiëren en de ontwikkeling van open-source CC-frameworks en -tools aan te sturen, is in 2019 het Confidential Computing Consortium opgericht onder auspiciën van de Linux Foundation. Leden van het consortium zijn onder meer Facebook, Google, Fortanix, IBM, Huawei, Oracle, Tencent, Alibaba, Arm, AMD en Microsoft. Sommige leden bieden al overeenkomstige instrumenten aan.
Het consortium vertrouwt op het gebruik van speciale, van elkaar en van de rest van het systeem afgeschermde gebieden, waarin alleen ondertekende code mag draaien, zogeheten Trusted Execution Environments (TEE’s). De op hardware gebaseerde “trusted execution environment” is een veilige enclave binnen een CPU. Het wordt beveiligd door ingebouwde bevestigingsmechanismen en encryptiesleutels die ervoor zorgen dat alleen geautoriseerde toepassingscode toegang heeft tot de sleutels.
TEE ontzegt de toegang tot de sleutels en breekt de berekening onmiddellijk af zodra de geautoriseerde code op enigerlei wijze wordt gewijzigd of gehackt of een niet-geautoriseerde code, bijvoorbeeld malware, toegang wil tot de sleutels. Tijdens het gehele berekeningsproces, evenals in de gedecodeerde staat, zijn de gegevens onzichtbaar voor de hypervisor in een virtuele machine of voor het besturingssysteem, voor de cloudaanbieder en zijn medewerkers, en voor andere stackbronnen.
TEE’s zijn echter niet nieuw
TEE’s zijn al enige tijd beschikbaar voor x86-chips (Intel SGX) en Arm (Trust Zone). Het concept ontstond meer dan 10 jaar geleden met de Trusted Platform Modules (TPM-modules). Moderne TEE’s zijn echter in de chips ingebouwd en zijn geen externe toevoegingen. Tot dusver waren er echter niet voor alle processoren TEE’s beschikbaar. Bovendien zijn ze relatief moeilijk te implementeren.
Evalueer Confidential Computing voor ondernemingen
Hoewel TEE’s niet nieuw zijn, maakt Confidential Computing in de cloud het voor ondernemingen veel aantrekkelijker om hun gegevens te beschermen tegen bepaalde app-kwetsbaarheden. Bedrijven moeten daarom hun opties voor de inzet van vertrouwelijk computergebruik nader evalueren.