Start-up-Check
26.03.2020, 17:30 Uhr
Decentriq: Die Brückenbauer der Cloud-Welt
Die Software-Plattform von Decentriq ermöglicht Firmen die einfache Kollaboration mit Machine-Learning-Profis. Mit seiner Lösung gehört das Zürcher Start-up weltweit zu den Vorreitern beim Confidential Computing.
Das Team von Decentriq mit den beiden Firmengründern Stefan Deml und Maximilian Groth (hintere Reihe 2. und 3. v. l.)
(Quelle: Decentriq)
Kaum ein Grossunternehmen kann es sich heute noch leisten, auf Cloud-Dienste zu verzichten. Mit dem Gang in die Cloud zügelt man seine Daten jedoch unweigerlich auf fremde Rechner. Das stellt neue Anforderungen an die IT-Sicherheit. Um diese Herausforderungen zu bewältigen, werkeln die ganz Grossen in diesem Business derzeit an einem neuen Lösungsansatz – dem sogenannten Confidential Computing. Im Herbst des vergangenen Jahres wurde dafür unter der Leitung der Linux Foundation das «Confidential Computing Consortium» gegründet.
Die Organisation setzt sich zum Ziel, Daten während der Nutzung besser vor Fremdzugriffen zu schützen. Auch sollen Anwender von mehr Kontrolle und Transparenz profitieren. Gemäss den Angaben der Linux Foundation fokussieren sich aktuelle Sicherheitsansätze nämlich vorwiegend auf Daten im Ruhezustand oder solche, die gerade zwischen zwei Punkten übertragen werden.
Mit an Bord des Konsortiums sind Alibaba, Baidu, Google, Huawei, Microsoft, Red Hat, Swisscom, Tencent, VMware und auch die Chip-Hersteller ARM und Intel. Nebst all den grossen Anbietern mischt im «Confidential Computing Consortium» auch das Zürcher Start-up Decentriq mit. Die von Stefan Deml und Maximilian Groth gegründete Jungfirma hat eine Cloud-basierte Software-Plattform gebaut, welche die «Data Collaboration» einfacher und sicherer machen soll.
TEEs als Daten-Bodyguards
Der Ansatz des Confidential Computings setzt voll und ganz auf die Hardware-basierte Kryptografie. Zunutze macht man sich sogenannte Trusted Execution Environments (TEEs). Dabei handelt es sich um sichere Enklaven – einfacher gesagt, um abgeschirmte Bereiche der CPUs. Intel nennt die hauseigene Version der Technologie «Software Guard Extensions»; kurz SGX (vgl. Kasten). Der Tech-Konzern integriert diese seit der Skylake-Mikroarchitektur in Chips aus eigener Produktion.
«Das Interessante daran ist, dass SGX es ermöglicht, eine Berechnung in einer CPU komplett vom Rest des Systems zu isolieren», erklärt Stefan Deml. Ihm zufolge kann über einen «Remote Attestation Server» ausserdem verifiziert werden, ob eine spezifische Berechnung auch wirklich in der isolierten Umgebung ausgeführt oder manipuliert wurde. Mittlerweile würden Cloud-Anbieter damit beginnen, diese Technologie in ihren bestehenden Instanzen zur Verfügung zu stellen. Aktiv wird sie bislang erst von Microsoft Azure angeboten. Mit dem Hyperscaler pflege Decentriq deswegen eine «ziemlich enge Kollaboration», sagt Deml.
The Secret Sauce
Intel SGX
SGX steht für «Software Guard Extensions». Die Technologie wird von Intel seit der Skylake-Architektur in den Prozessoren verbaut. Zum Einsatz kommt diese vorwiegend in Cloud-Rechenzentren. Intel SGX ermöglicht eine Hardware-basierte Verschlüsselung von Speicherinhalten, die bestimmten Programmcode und Daten im Speicher in sogenannten Enklaven isoliert. Sie sind voneinander getrennt und vom Rest des Systems abgeschirmt. Das führt dazu, dass diese Speicherbereiche vor Prozessen, die auf höherer Privilegierungsstufe ausgeführt werden, geschützt sind. Für Cloud-Anbieter ist die Integration der Technologie aufgrund der modernen Virtualisierung allerdings nicht ganz einfach. Denn wenn SGX genutzt wird, muss eine spezifische Anwendung immer auf derselben Hardware ausgeführt werden.