La sécurité des données dans le cloud public est une préoccupation depuis l'émergence du support informatique au milieu des années 2000, mais les fournisseurs de cloud apaisent les craintes de vol avec un nouveau concept : l'informatique confidentielle.
L'informatique confidentielle implique la création d'un coffre-fort isolé sur le matériel - également appelé environnement d'exécution de confiance - dans lequel le code chiffré est protégé et stocké. Le code n'est accessible qu'aux applications disposant des bonnes clés, qui sont généralement une combinaison de chiffres, pour le déverrouiller puis le décrypter. Un processus appelé attestation vérifie que tout est correct, minimisant les risques que des parties non autorisées volent ou pillent les données.
L'informatique confidentielle offre le « nec plus ultra en matière de protection des données », a déclaré Mark Russinovich, directeur de la technologie chez Microsoft Azure, lors d'une session en streaming au siège social de l'entreprise. Conférence Ignite en octobre.
"Parce que c'est à l'intérieur de l'enclave, protégé par du matériel, rien à l'extérieur ne peut voir ces données ou les altérer", a-t-il déclaré. "Cela inclut les personnes ayant un accès physique au serveur, l'administrateur du serveur, l'hyperviseur et l'administrateur d'une application."
Selon les analystes, l'informatique confidentielle permet aux entreprises de migrer vers le cloud des charges de travail qui dépendent fortement de la confidentialité et de la sécurité des données. Les entreprises des secteurs hautement réglementés comme la santé et la finance peuvent passer aux services cloud tout en maintenant leur sécurité.
Espionner les trous dans les nuages
Depuis ses débuts, l'attrait utilitaire du cloud computing, en termes de tarification et de flexibilité, a largement noyé les préoccupations de sécurité. Selon James Sanders, analyste principal pour le cloud, l'infrastructure et l'informatique quantique à la société de recherche technologique CCS Insight, la critique la plus virulente du cloud computing était la perspective d'une confidentialité impossible à garantir car les charges de travail des invités ne pouvaient pas être complètement isolées du système hôte.
"Cependant, la divulgation des vulnérabilités Spectre et Meltdown en 2018 a démontré la possibilité pour un locataire cloud malveillant d'exfiltrer les données des charges de travail d'autres processus sur le même système hôte", déclare Sanders.
Le vulnérabilités exposés aux pirates des informations confidentielles laissant des enclaves sécurisées. Les attaques jumelles ont également poussé l'idée plus large de l'informatique confidentielle, dans laquelle le code crypté n'était accessible qu'aux parties autorisées mais ne laisserait pas d'enclaves isolées.
L'informatique confidentielle empêche les malfaiteurs de s'introduire dans les serveurs et de voler des secrets, déclare Steve Leibson, analyste principal chez Tirias Research.
« Les [attaques] parrainées par l'État sont les plus difficiles et les plus sophistiquées », dit-il. "Donc, à ce stade, vous devez vraiment penser à la protection des données en cours d'utilisation, en mouvement et stockées. Il doit être crypté dans les trois situations.
Ancrer l'informatique confidentielle dans le silicium
L'informatique confidentielle change la façon dont les fabricants de matériel et les fournisseurs de cloud envisagent les applications sur les machines virtuelles et non directement sur les processeurs, déclare Leibson.
"Lorsque nous utilisions des processeurs, nous n'avions pas besoin d'attestation car personne n'allait modifier un Xeon", explique-t-il. « Mais une machine virtuelle, ce n'est qu'un logiciel. Vous pouvez le modifier. L'attestation essaie de fournir le même type de rigidité aux machines logicielles que le silicium pour les processeurs matériels.
Les fabricants de puces ont depuis adopté une approche axée sur la sécurité dans la conception des puces, et cela s'est répercuté sur les offres cloud. Le mois dernier, Google, Nvidia, Microsoft et AMD ont annoncé conjointement une spécification appelée calyptre pour établir une couche sécurisée sur les puces où les données peuvent être protégées et approuvées. La spécification protège le secteur de démarrage, fournit des couches d'attestation et protège contre le piratage matériel conventionnel, tel que les attaques parasites et les attaques par canal latéral. Caliptra est géré par Open Compute Project et Linux Foundation.
"Nous envisageons de futures innovations dans l'informatique confidentielle et des cas d'utilisation variés qui nécessitent une attestation au niveau de la puce au niveau d'un package ou d'un système sur puce (SoC)" avec Caliptra, a écrit Parthasarathy Ranganathan, vice-président et membre technique de Google. , dans un entrée de blog publié lors de l'événement Google Cloud Next qui a eu lieu à la mi-octobre.
Google possède déjà sa propre technologie informatique confidentielle appelée OuvertTitan, qui se concentre principalement sur la protection du secteur de l'amorçage.
Les efforts précédents de Microsoft en matière d'informatique confidentielle reposaient sur des enclaves partielles plutôt que sur la protection de l'ensemble du système hôte, explique Sanders de CCS Insight. Cependant, ce mois-ci, la société a annoncé Machines virtuelles Azure avec informatique confidentielle basé sur la technologie intégrée à Epyc, un processeur de serveur d'AMD. Le SNP-SEV d'AMD chiffre les données lorsqu'elles sont chargées dans un CPU ou un GPU, ce qui protège les données pendant leur traitement.
Ouvrir la voie à la conformité dans le monde réel
Pour les entreprises, l'informatique confidentielle offre la possibilité de sécuriser les données dans le cloud public, comme l'exigent des réglementations telles que le règlement général européen sur la protection des données et la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie, selon les analystes.
"La disponibilité d'un chiffrement à l'épreuve des administrateurs dans le cloud sape l'un des sujets de discussion anti-cloud les plus anciens, car la protection des charges de travail de l'opérateur de la plate-forme cloud élimine efficacement la plus grande source de risque restante empêchant l'adoption du cloud public", déclare Sanders.
La technologie AMD est apparue dans les machines virtuelles à usage général plus tôt cette année, mais les annonces d'Ignite étendent la technologie à Azure Kubernetes Service, qui offre une sécurité supplémentaire pour les charges de travail natives du cloud. La technologie AMD sur Azure est également conçue pour être utilisée dans les lieux de travail avec votre propre appareil, le travail à distance et les applications gourmandes en ressources graphiques.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
