Thought Leadership
Mehr Vertraulichkeit soll die Confidential-Computing-Architektur bieten, vor allem in der Public-Cloud. Entwickelt und Vorangetrieben wird es vom Confidential Computing Consortium. Die ersten Hersteller veröffentlichen bereits die ersten Frameworks und Werkzeuge. Doc Storage hält das Konzept für zukunftsträchtig.
Antwort Doc Storage:
Wie bereits im letzten Beitrag erläutert, ist Confidential-Computing ein Konzept, welches verschlüsselte Daten im Speicher verarbeitet. Hierdurch soll der Zugriff eingeschränkt und so sichergestellt werden, dass diese Informationen gekapselt und geschützt sind. Das Confidential-Computing Consortium (CCC) kümmert sich um die Fortentwicklung und Vereinheitlichung dieser Technologie sowie die Entwicklung von zugehörigen Werkzeugen, welche alle den Schutz von Daten zum Ziel haben. Nach weitläufiger Ansicht eignet sich dieses Konzept besonders für Public-Cloud Umgebungen.
Confidential-Computing konzentriert sich daneben auch auf software- und hardware-basierte Sicherheit. Es stellt sicher, dass Daten gegen Bedrohungen wie böswillige Insider, Schwachstellen in Netzwerken oder beteiligten Hard- oder Softwarekomponenten verschlüsselt und damit abgesichert werden. Diese Idee gewinnt mit der Verbreitung von Cloud-Diensten zunehmend an Bedeutung. Organisationen als Anwender von Cloud-Computing-Umgebungen profitieren von den erhöhten Sicherheitseinstellungen, die Confidential-Computing bietet.
Die plattformübergreifende Entwicklung von Werkzeugen für Confidential-Computing ist dabei das Ziel des CCC, einer Gruppe von Organisationen, die sich die Fortentwicklung und Vereinheitlichung von Confidential-Computing auf die Fahne geschrieben haben. Dieses Konglomerat setzt sich auch die Erleichterung der Ausführung von Prozessen in sogenannten Enklaven, vertrauenswürdigen Ausführungsumgebungen (Trusted Execution Environments, TEE) ein. Solche sollen größtenteils von Hardware, Betriebssystemen oder anderen Anwendungen geschützt sein.
Das Konsortium besteht aus verschiedensten Anbietern und Entwicklern wie unter anderem Alibaba, ARM, Google, IBM, Intel, Microsoft und Red Hat. Der Zusammenschluss hat das Ziel, Werkzeuge und Frameworks auf Open-Source-Basis für Cloud-Computing-Umgebungen zu entwickeln und zu vereinheitlichen. Es zielt auch darauf ab, Community-basierte Projekte zu unterstützen, die zum Schutz von Anwendungen, Programmen und virtuelle Maschinen dienen sollen. Darüber hinaus will man als Konsortium auch beratend bei der Einführung oder Änderung von Sicherheitsstrategien behilflich sein. Für all diese Zwecke hat man das Confidential Consortium Framework entwickelt, eine übergeordnete Struktur, welche zum Erstellen sowohl sicherer und hochverfügbarer Anwendungen genutzt werden kann.
Confidential-Computing: Datenverschlüsselung auch bei der Verarbeitung
Normalerweise verschlüsseln Unternehmen oder Organisationen ihre Daten, wenn diese gespeichert oder übertragen werden. Allerdings verzichtet man bei deren Verarbeitung größtenteils auf eine solche Verschlüsselung. Das CCC versucht genau diese Lücke zu schließen – vor allem in Umgebungen, in denen Daten im Hauptspeicher von Rechnern verarbeitet werden. Das Hauptziel besteht darin, die Verarbeitung von Daten im Hauptspeicher im verschlüsselten Zustand zu ermöglichen. Hiermit soll der Zugriff auf sensible Daten verhindert werden. Daten sind in diesen Umgebungen nur dann unverschlüsselt, wenn ein Code auf einem System einem Benutzer den Zugriff darauf ermöglicht. Somit sind die Daten auch vor dem Zugriff der Cloud-Anbieter selbst sicher. Confidential-Computing kann aber auch funktionieren, wenn eine vertrauenswürdige Ausführungsumgebung verwendet wird – weithin als TEEs oder Enklaven bezeichnet.
Confidential-Computing kann viele verschiedene Werkzeuge und Dienste umfassen. Die Anbieter und Hersteller im CCC haben bereits viele dieser Werkzeuge entwickelt, die TEE und Confidential-Computing unterstützen. So hat beispielsweise Microsoft das Open Enclave SDK entwickelt, welches als Framework zum Erstellen von App-Enklaven verwendet werden kann. In Azure erstellte Enklaven werden von Hyper-V Virtualization Based Security (VBS) unterstützt. Der SQL Server 2019 bietet für Confidential-Computing eine Always-Encrypted-Funktion, welche sichere Enklaven erzeugt und nutzt.
Wie bereits erwähnt nehmen Alibaba, ARM, Baidu, Google, IBM, Intel, Microsoft sowie Red Hat, Tencent oder Swisscom am CCC teil. Beispiele für Werkzeuge, die diese Unternehmen anbieten, sind Open Enclave und Azure von Microsoft oder Asylo von Google.
Asylo besteht aus einem Open-Source-Framework und einem Software-Entwicklungskit, welches sichere Enklaven zur Verarbeitung von Daten verwendet. Asylo wird über das Container-Repository von Google oder als Docker-Image bereitgestellt, das auf TEE-bereiten Plattformen verwendet werden kann. Dies macht Asylo viel flexibler in Bezug auf Hardwarekonfigurationen und verbessert vor allem den Datenschutz.
ARM entwickelt ein Werkzeug namens TrustZone, welches auch Confidential-Computing unterstützen wird.
Die Cloud Hyper Protect Services der IBM basieren auf einer Enklaven-Technologie, die Hardware und Software integriert und das nutzt, was das Unternehmen ganz nach traditionell bescheidener Manier als »das branchenweit erste und einzige FIPS 140-2 Level 4-zertifizierte Cloud-Hardware-Sicherheitsmodul (HSM)« bezeichnet. Das Portfolio umfasst weiterhin drei Dienste: IBM Cloud Hyper Protect Crypto Services, Hyper Protect DBaaS und Hyper Protect Virtual Servers.
Microsoft bietet darüber hinaus ein neues Sicherheitsmodell für Azure namens Confidential-Computing, das Daten während der Übertragung, im Ruhezustand und auch während der Verwendung verschlüsselt.
Red Hat steuert ein Framework namens Enarx bei, eine Version ähnlich Open-Enclave, jedoch für Linux und Public-Cloud-Umgebungen.
Gruß
Doc Storage
Weiterführende Links
- Doc Storage: Mehr Datensicherheit durch Confidential-Computing
- Doc Storage: Die Zeit von Fibre-Channel ist doch abgelaufen – Teil 2
- Marvell: Die Zeit von Fibre-Channel ist noch längst nicht abgelaufen
- Doc Storage: Wird NVMe-over-TCP das FC-SAN ablösen?
- Doc Storage: Datensicherheit: Schutz von Endgeräten
