A nyilvános felhő adatbiztonsága a számítástechnikai közeg 2000-es évek közepén történő megjelenése óta aggodalomra ad okot, de a felhőszolgáltatók egy új koncepcióval, a bizalmas számítástechnikával csillapítják a lopástól való félelmet.
A bizalmas számítástechnika magában foglalja egy izolált tároló létrehozását a hardveren – amelyet megbízható végrehajtási környezetnek is neveznek –, amelyben a titkosított kódot védik és tárolják. A kódhoz csak a megfelelő kulcsokkal rendelkező alkalmazások férhetnek hozzá, amelyek általában számkombinációból állnak a feloldáshoz, majd visszafejtéshez. Az úgynevezett folyamat hitelesítés ellenőrzi, hogy minden helyes-e, minimálisra csökkentve annak esélyét, hogy illetéktelen felek ellopják vagy ellopják az adatokat.
A bizalmas számítástechnika a „legmagasabb adatvédelmet nyújtja” – mondta Mark Russinovich, a Microsoft Azure technológiai vezérigazgató-helyettese egy streamelt munkamenet során a vállalatnál. Ignite konferencia októberben.
„Mivel az enklávé belsejében van, hardverrel védve, kívülről semmi sem láthatja az adatokat, és nem módosíthatja azokat” – mondta. "Ebbe beletartoznak a kiszolgálóhoz fizikai hozzáféréssel rendelkező személyek, a szerveradminisztrátor, a hipervizor és az alkalmazás rendszergazdája."
Elemzők szerint a bizalmas számítástechnika lehetővé teszi a vállalatok számára, hogy az adatvédelemre és biztonságra erősen támaszkodó munkaterheléseket a felhőbe helyezzék át. A szigorúan szabályozott iparágakban, például az egészségügyben és a pénzügyekben működő vállalatok áttérhetnek a felhőszolgáltatásokra, miközben megőrzik biztonsági helyzetüket.
A lyukak kémkedése a felhőkben
A felhőalapú számítástechnika haszonelvű vonzereje az árképzés és a rugalmasság tekintetében a kezdetek óta nagyrészt elfojtotta a biztonsági aggályokat. A felhőalapú számítástechnikával szemben a leghangosabb kritika az volt, hogy lehetetlen biztosítani a magánélet védelmét, mivel a vendégmunkát nem lehetett teljesen elszigetelni a fogadó rendszertől – mondja James Sanders, a CCS Insight technológiai kutatócég felhő-, infrastruktúra- és kvantumszámítástechnikai vezető elemzője.
„A Spectre és a Meltdown sebezhetőségének 2018-as nyilvánosságra hozatala azonban megmutatta, hogy egy rosszindulatú felhőbérlő képes adatokat kiszűrni más folyamatok munkaterheléséből ugyanazon a gazdagépen” – mondja Sanders.
A réseket hackerek számára kitett bizalmas információk biztonságos enklávékat hagyva el. Az ikertámadások a bizalmas számítástechnika tágabb elképzelését is előremozdították, amelyben a titkosított kód csak az arra jogosult felek számára volt hozzáférhető, de nem hagyott el elszigetelt enklávékat.
Steve Leibson, a Tirias Research vezető elemzője szerint a bizalmas számítástechnika megakadályozza, hogy a rosszfiúk betörjenek a szerverekre és titkokat lopjanak el.
„Az államilag támogatott [támadások] a legnehezebbek és a legkifinomultabbak” – mondja. „Tehát ezen a ponton valóban gondolkodnia kell a használatban lévő, mozgásban lévő és tárolt adatok védelméről. Mindhárom helyzetben titkosítani kell.”
A bizalmas számítástechnika földelése szilíciumban
A bizalmas számítástechnika megváltoztatja azt a módot, ahogy a hardvergyártók és a felhőszolgáltatók a virtuális gépeken és nem közvetlenül a processzorokon lévő alkalmazásokról gondolkodnak, mondja Leibson.
„Amikor processzorokon futottunk, nem volt szükségünk tanúsítványra, mert senki sem akarta megváltoztatni a Xeont” – mondja. „De egy virtuális gép – ez csak szoftver. Meg tudod változtatni. Az Attestation olyan merevséget igyekszik biztosítani a szoftvergépeknek, mint a szilícium a hardverprocesszoroknak.”
A chipgyártók azóta a biztonságot szolgáló megközelítést alkalmazzák a chiptervezésben, és ez a felhőalapú kínálatig terjedt. A múlt hónapban a Google, az Nvidia, a Microsoft és az AMD közösen bejelentette az elnevezésű specifikációt kaliptra biztonságos réteg létrehozása a chipeken, ahol az adatok védhetők és megbízhatóak. A specifikáció védi a rendszerindító szektort, tanúsítási rétegeket biztosít, és védelmet nyújt a hagyományos hardveres feltörések, például a hibák és az oldalcsatornás támadások ellen. A Caliptrát az Open Compute Project és a Linux Foundation kezeli.
Parthasarathy Ranganathan, a Google alelnöke és műszaki munkatársa: „Előre tekintünk a bizalmas számítástechnika és a változatos felhasználási esetek jövőbeli újításaira, amelyek chipszintű tanúsítást igényelnek egy csomag vagy rendszer egy chipen (SoC) szintjén” a Caliptrával. , a blogbejegyzés az október közepén lezajlott Google Cloud Next esemény során tette közzé.
A Google már rendelkezik saját bizalmas számítástechnikai technológiával, az úgynevezett OpenTitan, amely elsősorban a rendszerindító szektor védelmére összpontosít.
A CCS Insight Sanders szerint a Microsoft korábbi erőfeszítései a bizalmas számítástechnika terén a részleges enklávékon alapultak, nem pedig a teljes gazdagéprendszer védelmében. Ebben a hónapban azonban a cég bejelentette Azure virtuális gépek bizalmas számítástechnikával az Epyc-be, az AMD szerverprocesszorába épített technológián alapul. Az AMD SNP-SEV titkosítja az adatokat, amikor azokat egy CPU-ba vagy GPU-ba töltik be, ami védi az adatokat feldolgozás közben.
Megtisztítja az utat a valós megfelelőséghez
Elemzők szerint a vállalatok számára a bizalmas számítástechnika lehetőséget kínál arra, hogy az adatokat a nyilvános felhőben biztonságossá tegyék, ahogy azt olyan szabályozások is megkövetelik, mint az európai általános adatvédelmi rendelet és az Egyesült Államok egészségbiztosítási hordozhatósági és elszámoltathatósági törvénye.
„A rendszergazdabiztos titkosítás elérhetősége a felhőben aláaknázza az egyik leghosszabb ideig fennálló felhőellenes beszédpontot, mivel a felhőplatform üzemeltetőitől származó munkaterhelések hatékonyan kiküszöbölik a legnagyobb fennmaradó kockázatforrást, amely megakadályozza a nyilvános felhő alkalmazását” – mondja Sanders.
Az AMD technológia az év elején jelent meg az általános célú virtuális gépeken, de az Ignite bejelentései kiterjesztik a technológiát az Azure Kubernetes Service-re, amely további biztonságot nyújt a felhőalapú munkaterhelésekhez. Az Azure-ban található AMD-technológiát a „hozza saját eszközét” munkahelyeken, távoli munkában és a grafikus igényű alkalmazásokban való használatra tervezték.
