Mehr Vertrauen ins Cloud-Computing
Stand der Dinge
Confidential Computing ist ein Sicherheitsmechanismus, der Code und Daten vor dem Host-System und damit zum Beispiel vor dem Cloud-Provider schützt, so das Analystenhaus Gartner. Indem wichtige Informationen für Dritte, einschliesslich des Hosts, unsichtbar gemacht werden, wird möglicherweise das verbliebene Hindernis für die Cloud-Einführung für stark regulierte Unternehmen in den Bereichen Finanzdienstleistungen, Versicherungen und Gesundheitswesen beseitigt.
Doch es gibt weitere Anwendungsmöglichkeiten, die Gartner sieht: Beispielsweise könnten ein Einzelhändler und eine Bank Kundentransaktionsdaten auf potenziellen Betrug überprüfen, ohne der jeweils anderen Partei Zugriff auf die Originaldaten zu gewähren.
Gartner betont aber auch: Confidential Computing ist kein Plug-and-play. So rechnet das Analystenhaus mit einer Wartezeit von fünf bis zehn Jahren, bevor diese neue Sicherheitstechnologie regelmässig verwendet wird. Erste Anwendungsbeispiele existieren aber bereits.
«Microsoft Azure war die erste grosse und öffentliche Cloud, die Confidential Computing anbot. Kunden, beispielsweise aus der Finanz- und Gesundheitsbranche sowie Regierungen, setzen heute auf Confidential Computing», sagt Mark Russinovich, Chief Technology Officer bei Microsoft Azure. «Azure bietet Confidential-Computing-Optionen für virtuelle Maschinen, Container, maschinelles Lernen und vieles mehr. Wir glauben, dass die nächste Generation der skalierbaren Intel-Xeon-Prozessoren mit Intel SGX, vollständiger Verschlüsselung des Speichers und kryptografischer Beschleunigung unseren Kunden helfen wird, noch mehr Szenarien im Bereich Confidential Computing zu erschliessen.»
Das Elektronikunternehmen NEC beispielsweise erstellt eine vertrauenswürdige Computerumgebung, um Kundendaten mehrerer Anbieter zu kombinieren, Analysen durchzuführen und geschäftliche Erkenntnisse zu generieren. Gleichzeitig möchte NEC dazu beitragen, die Privatsphäre und die Vertraulichkeit der Kundendaten vor allen Parteien zu schützen.
In all diesen Fällen ist die Fähigkeit, eine vertrauenswürdige Computerumgebung einzurichten, entscheidend, um sowohl Kunden als auch Unternehmen das Vertrauen zu geben, datenschutzrechtlich konforme Analysen durchzuführen. «NEC entwickelt ein innovatives vertrauliches Computersystem, mit dem mehrere Unternehmen Kundendaten über die Industriegrenzen hinweg sicherer austauschen und analysieren können, wodurch sowohl für Unternehmen als auch für ihre Kunden ein Mehrwert geschaffen wird», erläutert Shinji Abe, Executive Director für Technologie bei NEC.
Lösungen für Confidential Computing (Auswahl)
Anbieter | Produkt | Besonderheiten |
Alibaba | Inclavare Containers | Dieses Open-Source-Projekt integriert cloudnative Containertechnologie mit Confidential Computing. Intel beteiligt sich an der Entwicklung der Open-Source-Community |
Asylo | Open-Source-Framework für Confidential Computing | Asylo ist ein offenes Framework für die Entwicklung von Enklavenanwendungen. Enklaven (isolierte Bereiche) stellen sicher, dass nur autorisierter Code auf die Daten zugreifen kann. Mit Asylo kann eine Reihe neuer vertrauenswürdiger Ausführungsumgebungen genutzt werden, einschließlich Software- und Hardware-Isolationstechnologien |
Microsoft | Azure Confidental Computing | Azure war die erste öffentliche Cloud, die eine Virtualisierungsinfrastruktur für vertrauliches Computing anbietet, die hardwarebasierte, vertrauenswürdige Ausführungsumgebungen (TEEs, Trusted Execution Environments) verwendet. Selbst Cloud-Administratoren und Rechenzentrumsbetreiber mit physischem Zugriff auf die Server können nicht auf TEE-geschützte Daten zugreifen |
Dezentriq | Confidential Machine Learning | Das Modul Confidential Machine Learning Inference von Decentriq ermöglicht maschinelles Lernen auf datenschutzfreundliche und sichere Weise. Die Daten und das Modell werden durch Confidential Computing von allen Parteien einschließlich der Hardware-Infrastrukturanbieter vertraulich behandelt |
Assured Workloads for Government | Spezielle Lösung zur Absicherung von Google-Cloud-Diensten, die von Regierungsinstitutionen genutzt werden | |
Confidential VMs | Als Betaversion für Google Compute Engine verfügbar. Google-Cloud-Kunden können dank der Sicherheitstechnologien moderner CPUs aktive Daten verschlüsseln, zum Beispiel durch die Erweiterung Secure Encrypted Virtualization (SEV) | |
IBM | Cloud Hyper Protect Services | Mit IBM Cloud Hyper Protect Services haben Kunden die vollständige Autorität über ihre vertraulichen Daten, Workloads und digitalen Schlüssel. Auch IBM-Cloud-Administratoren haben keinen Zugriff |
Cloud Data Shield | Mit IBM Cloud Data Shield können Benutzer containerisierte Anwendungen in einer sicheren Enklave auf einem IBM-Cloud-Kubernetes-Service-Host ausführen und so den Schutz der verwendeten Daten gewährleisten | |
Intel | Intel Software Guard Extensions (Intel SGX) | Intel Software Guard Extensions bietet eine hardwarebasierte Speicherverschlüsselung, die bestimmten Anwendungscode und Daten im Speicher isoliert. Mit Intel SGX kann Code auf Benutzerebene private Speicherbereiche (Enklaven) zuweisen, die vor Prozessen geschützt sind, die mit höheren Berechtigungsstufen ausgeführt werden |
Lösungen für Confidential Computing (Auswahl)
Anbieter | Produkt | Besonderheiten |
Alibaba | Inclavare Containers | Dieses Open-Source-Projekt integriert cloudnative Containertechnologie mit Confidential Computing. Intel beteiligt sich an der Entwicklung der Open-Source-Community |
Asylo | Open-Source-Framework für Confidential Computing | Asylo ist ein offenes Framework für die Entwicklung von Enklavenanwendungen. Enklaven (isolierte Bereiche) stellen sicher, dass nur autorisierter Code auf die Daten zugreifen kann. Mit Asylo kann eine Reihe neuer vertrauenswürdiger Ausführungsumgebungen genutzt werden, einschließlich Software- und Hardware-Isolationstechnologien |
Microsoft | Azure Confidental Computing | Azure war die erste öffentliche Cloud, die eine Virtualisierungsinfrastruktur für vertrauliches Computing anbietet, die hardwarebasierte, vertrauenswürdige Ausführungsumgebungen (TEEs, Trusted Execution Environments) verwendet. Selbst Cloud-Administratoren und Rechenzentrumsbetreiber mit physischem Zugriff auf die Server können nicht auf TEE-geschützte Daten zugreifen |
Dezentriq | Confidential Machine Learning | Das Modul Confidential Machine Learning Inference von Decentriq ermöglicht maschinelles Lernen auf datenschutzfreundliche und sichere Weise. Die Daten und das Modell werden durch Confidential Computing von allen Parteien einschließlich der Hardware-Infrastrukturanbieter vertraulich behandelt |
Assured Workloads for Government | Spezielle Lösung zur Absicherung von Google-Cloud-Diensten, die von Regierungsinstitutionen genutzt werden | |
Confidential VMs | Als Betaversion für Google Compute Engine verfügbar. Google-Cloud-Kunden können dank der Sicherheitstechnologien moderner CPUs aktive Daten verschlüsseln, zum Beispiel durch die Erweiterung Secure Encrypted Virtualization (SEV) | |
IBM | Cloud Hyper Protect Services | Mit IBM Cloud Hyper Protect Services haben Kunden die vollständige Autorität über ihre vertraulichen Daten, Workloads und digitalen Schlüssel. Auch IBM-Cloud-Administratoren haben keinen Zugriff |
Cloud Data Shield | Mit IBM Cloud Data Shield können Benutzer containerisierte Anwendungen in einer sicheren Enklave auf einem IBM-Cloud-Kubernetes-Service-Host ausführen und so den Schutz der verwendeten Daten gewährleisten | |
Intel | Intel Software Guard Extensions (Intel SGX) | Intel Software Guard Extensions bietet eine hardwarebasierte Speicherverschlüsselung, die bestimmten Anwendungscode und Daten im Speicher isoliert. Mit Intel SGX kann Code auf Benutzerebene private Speicherbereiche (Enklaven) zuweisen, die vor Prozessen geschützt sind, die mit höheren Berechtigungsstufen ausgeführt werden |