La sicurezza dei dati nel cloud pubblico è stata una preoccupazione da quando il mezzo informatico è emerso a metà degli anni 2000, ma i fornitori di cloud stanno dissipando i timori di furto con un nuovo concetto: l’informatica riservata.
L'elaborazione riservata implica la creazione di un deposito isolato sull'hardware, chiamato anche ambiente di esecuzione affidabile, in cui il codice crittografato viene protetto e archiviato. Il codice è accessibile solo alle applicazioni con le chiavi giuste, che di solito sono una combinazione di numeri, per sbloccarlo e poi decriptarlo. Un processo chiamato attestazione verifica che tutto sia corretto, riducendo al minimo le possibilità che soggetti non autorizzati rubino o sottraggano i dati.
Il computing riservato offre "il massimo in termini di protezione dei dati", ha affermato Mark Russinovich, chief technology officer di Microsoft Azure, durante una sessione in streaming presso la sede dell'azienda. Conferenza Ignite in ottobre.
"Poiché si trova all'interno dell'enclave, protetto dall'hardware, niente all'esterno può vedere quei dati o manometterli", ha detto. "Ciò include le persone con accesso fisico al server, l'amministratore del server, l'hypervisor e l'amministratore di un'applicazione."
Secondo gli analisti, il computing riservato consente alle aziende di migrare carichi di lavoro che fanno molto affidamento sulla privacy e sulla sicurezza dei dati nel cloud. Le aziende di settori altamente regolamentati come quello sanitario e finanziario possono passare ai servizi cloud mantenendo il proprio livello di sicurezza.
Spiare i buchi nelle nuvole
Fin dai suoi albori, il fascino utilitaristico del cloud computing, in termini di prezzi e flessibilità, ha in gran parte soffocato le preoccupazioni relative alla sicurezza. La critica più esplicita al cloud computing riguardava la prospettiva che la privacy fosse impossibile da garantire perché i carichi di lavoro degli ospiti non potevano essere completamente isolati dal sistema host, afferma James Sanders, principale analista per cloud, infrastrutture e calcolo quantistico presso la società di ricerca tecnologica CCS Insight.
“Tuttavia, la divulgazione delle vulnerabilità Spectre e Meltdown nel 2018 ha dimostrato la possibilità che un tenant cloud dannoso estragga dati dai carichi di lavoro di altri processi sullo stesso sistema host”, afferma Sanders.
Il vulnerabilità esposte agli hacker informazioni riservate lasciando enclavi sicure. Gli attacchi gemelli hanno inoltre portato avanti l’idea più ampia di computing confidenziale, in cui il codice crittografato era accessibile solo alle parti autorizzate ma non lasciava enclavi isolate.
L'informatica riservata impedisce ai malintenzionati di penetrare nei server e rubare i segreti, afferma Steve Leibson, principale analista di Tirias Research.
“Gli [attacchi] sponsorizzati dallo Stato sono i più difficili e i più sofisticati”, afferma. “Quindi a questo punto devi davvero pensare a proteggere i dati in uso, in movimento e archiviati. Deve essere crittografato in tutte e tre le situazioni.
Messa a terra dell'informatica riservata nel silicio
Il computing riservato sta cambiando il modo in cui i produttori di hardware e i fornitori di servizi cloud pensano alle applicazioni su macchine virtuali e non direttamente sui processori, afferma Leibson.
"Quando utilizzavamo i processori, non avevamo bisogno di attestazioni perché nessuno avrebbe modificato uno Xeon", afferma. “Ma una macchina virtuale è solo software. Puoi modificarlo. L’attestazione sta cercando di fornire alle macchine software lo stesso tipo di rigidità che il silicio offre ai processori hardware”.
Da allora, i produttori di chip hanno adottato un approccio che mette al primo posto la sicurezza nella progettazione dei chip, e questo si è esteso alle offerte cloud. Il mese scorso Google, Nvidia, Microsoft e AMD hanno annunciato congiuntamente una specifica denominata Calitra per stabilire un livello sicuro sui chip in cui i dati possono essere protetti e affidabili. La specifica protegge il settore di avvio, fornisce livelli di attestazione e tutela contro l'hacking hardware convenzionale, come glitch e attacchi side-channel. Caliptra è gestito da Open Compute Project e Linux Foundation.
"Stiamo guardando avanti alle innovazioni future nell'informatica riservata e ai vari casi d'uso che richiedono l'attestazione a livello di chip a livello di pacchetto o sistema su chip (SoC)" con Caliptra, ha scritto Parthasarathy Ranganathan, vicepresidente e collaboratore tecnico di Google , in un post di blog pubblicato durante l'evento Google Cloud Next che si è svolto a metà ottobre.
Google dispone già di una propria tecnologia informatica riservata chiamata Open Titan, che si concentra principalmente sulla protezione del settore dello stivale.
I precedenti sforzi di Microsoft nel campo dell’informatica riservata si basavano su enclavi parziali anziché sulla protezione dell’intero sistema host, afferma Sanders di CCS Insight. Tuttavia, questo mese la società ha annunciato Macchine virtuali di Azure con elaborazione riservata basato sulla tecnologia integrata in Epyc, un processore server di AMD. SNP-SEV di AMD crittografa i dati quando vengono caricati in una CPU o GPU, proteggendo i dati durante l'elaborazione.
Aprire la strada alla conformità nel mondo reale
Per le aziende, l’informatica riservata offre la possibilità di proteggere i dati nel cloud pubblico come richiesto da normative come il Regolamento generale sulla protezione dei dati europeo e l’Health Insurance Portability and Accountability Act degli Stati Uniti, dicono gli analisti.
“La disponibilità di crittografia a prova di amministratore nel cloud mina uno dei più longevi argomenti di discussione anti-cloud, poiché la protezione dei carichi di lavoro dall’operatore della piattaforma cloud elimina di fatto la più grande fonte di rischio rimanente che impedisce l’adozione del cloud pubblico”, afferma Sanders.
La tecnologia AMD è apparsa nelle macchine virtuali generiche all'inizio di quest'anno, ma gli annunci di Ignite estendono la tecnologia al servizio Azure Kubernetes, che fornisce ulteriore sicurezza per i carichi di lavoro nativi del cloud. La tecnologia AMD su Azure è progettata anche per l'uso in ambienti di lavoro Bring Your Own Device, lavoro remoto e applicazioni ad uso intensivo di grafica.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
