Confidential Computing
Das Konzept Confidential Computing wurde vom Confidential Computing Consortium veröffentlicht. Der Einsatz des Konzeptes ist besonders gut für Public Clouds geeignet.
Confidential Computing – also eine vertrauliche Datenverarbeitung - konzentriert sich auf hardware- und softwarebasierte Sicherheit. Das Konzept soll durch Verschlüsselung sicherstellen, dass die Daten vor Risiken wie böswillige Insider oder Netzwerkschwachstellen geschützt sind. Zudem soll Confidential Computing vor jeglicher Bedrohung der Hardware oder Software, die kompromittiert werden könnten, schützen.
Das Konzept gewinnt an Bedeutung, je mehr Unternehmen Cloud-Dienste zur Verarbeitung von Daten nutzen. Confidential Computing kann hier Anwenderunternehmen ein erhöhtes Sicherheitsgefühl vermitteln.
Das Confidential Computing Consortium hat unter anderem die Ziele plattformübergreifende Tools für Confidential Computing zu entwickeln und die Akzeptanz des Ansatzes im Markt voranzutreiben. So will das Konsortium die Ausführung von Berechnungen in so genannten Enklaven – Trusted Execution Environments (TEE, vertrauenswürdigen Ausführungsumgebungen) – erleichtern. Diese Enklaven sind geschützt vor Hardware, Betriebssystemen und anderen Anwendungen.
Das Confidential Computing Consortium setzt sich aus Hardware-Herstellern, Cloud-Anbietern und Entwicklern zusammen. Dazu gehören beispielsweise Google, Microsoft, ARM und Red Hat. Die Vereinigung will Open-Source-Tools und -Frameworks für Cloud-Umgebungen entwickeln und unterstützen. Zudem hat das Konsortium die Absicht Community-Projekte zu unterstützen, die Anwendungen, Programme und virtuelle Maschinen (VMs) schützen können. Zudem soll das Confidential Computing Consortium auch in der Lage sein, andere Organisationen bei der Anwendungen entsprechender Lösungen zu unterstützen.
Darüber hinaus hat das Confidential Computing Consortium ein allgemeines Framework für den Aufbau sicherer und hochverfügbarer Anwendungen entwickelt.
So funktioniert Confidential Computing
Typsicherweise werden Daten verschlüsselt, wenn sie gespeichert oder übertragen werden, aber nicht während ihrer Verwendung. Das Confidential Computing Consortium konzentriert sich auf die Absicherung von Daten, während diese verwendet werden, insbesondere, wenn sie im Speicher verarbeitet werden. Das Ziel ist es, die Verarbeitung von Daten im Speicher zu ermöglichen, während diese Daten noch verschlüsselt sind. Dadurch wird die Offenlegung sensibler Daten reduziert. Die einzige Zeit, in der die Daten unverschlüsselt sind, ist, wenn ein Code auf einem System einem Benutzer Zugriff auf sie erlaubt. Dies bedeutet auch, dass die Daten vor dem Cloud-Anbieter verborgen sind.
Dieses Confidential Computing soll durch die Verwendung einer vertrauenswürdigen Ausführungsumgebung erreicht werden, die gemeinhin als TEE (Trusted Execution Environment) oder Enklaven bezeichnet werden.
Anwendungsfälle für Confidential Computing
Confidential Computing kann in vielerlei Hinsicht für den Schutz von Daten in vertrauenswürdigen Umgebungen eingesetzt werden. Beispiele für konkrete Anwendungen sind:
- Schutz der Daten vor böswilligen Angreifern
- Sicherstellen, dass die Behandlung Daten mit der Gesetzgebung und Vorschriften wie etwa der EU-DSGVO (Datenschutz-Grundverordnung) übereinstimmen.
- Gewährleistung der Sicherheit von besonders sensiblen Daten wie etwa Finanzdaten.
- Sicherstellen, dass die verwendeten Daten bei der Migration von Workloads in andere Umgebungen geschützt sind.
- Entwicklern ermöglichen, Anwendungen zu erstellen, die über verschiedene Cloud-Plattformen hin verschoben werden können.
Die Bestandteile des Confidential Computing und Lösungen
Confidential Computing kann unterschiedlichste Tools und Dienste umfassen.
Die Mitglieder des Confidential Computing Consortium haben zahlreiche Tools entwickelt, die vertrauenswürdige Ausführungsumgebungen (TEE) und Confidential Computing unterstützen. So hat beispielsweise Microsoft das Open Enclave SDK entwickelt. Dabei handelt es sich um eine hardwareunabhängige Open-Source-Bibliothek für die Entwicklung von Anwendungen, die in hardwarebasierten vertrauenswürdigen Ausführungsumgebungen genutzt werden. Microsoft hat bereits 2017 ein Sicherheitsmodell für Azure entwickelt, das Daten während der Übertragung, im Ruhezustand und während der Verarbeitung verschlüsselt.
Von Google stammt die Anwendung Asylo für die vertrauliche Datenverarbeitung. Google Asylo besteht aus einem Open-Source-Framework und einen SDK, das sichere Enklaven zur Datenverarbeitung verwendet. Ayslo wird von Google als Docker-Image bereitgestellt, das auf vielen Plattformen genutzt werden kann. Das macht Google Ayslo in Bezug auf Hardwarekonfigurationen flexibler.