Защитата на данните, докато се използват, е особено ценна в облачни среди
(снимка: CC0 Public Domain)
автор: Eugen Schank
В епохата на все по-сложни пробиви в данните и кибер заплахи, компаниите са в постоянно търсене на нови начини за защита на чувствителната си информация. Така навлиза поверителното изчисление – нов подход към сигурността на данните, който революционизира начина, по който мислим за защита на данните в облака.
Какво е поверително изчисление?
Поверителното изчисление е нова парадигма за сигурност, която цели да защити данните, докато се използват, допълвайки съществуващите защити за данни в покой и при пренос. Този подход е особено ценен в облачни среди, където обработката на чувствителни данни се извършва върху споделена инфраструктура.
Приложение в GCP
В Google Cloud поверителното изчисление се имплементира основно чрез използването на Поверителни виртуални машини (Confidential VMs) и Поверителни GKE (Google Kubernetes Engine) възли. Тези решения използват хардуерно базирани доверени среди за изпълнение (TEEs), по-специално технологията AMD Secure Encrypted Virtualization (SEV).
На техническо ниво, ето как работи поверителното изчисление в Google Cloud:
- Криптиране на паметта: Когато се стартира Поверителна VM, цялата памет на VM се криптира с уникален ключ за всяка VM инстанция. AMD EPYC процесорът генерира този ключ, който никога не се разкрива пред Google или други VM.
- Сигурно зареждане: Процесът на зареждане на VM се измерва криптографски и се проверява, за да се гарантира целостта на компонентите за зареждане и гостуващата операционна система.
- Криптирано състояние: Регистрите на процесора на VM и другото архитектурно състояние се криптират, когато VM не работи активно на физически процесор.
- Управление на ключовете: Хардуерът управлява изцяло ключовете за криптиране, по-специално AMD Secure Processor. Инфраструктурата на Google Cloud никога няма достъп до тези ключове.
- Изолация: TEE осигурява силна изолация между различните VM и от самия хипервайзор. Дори ако хипервайзорът е компрометиран, той не може да достъпи криптираната памет на Поверителните VM.
- Атестация: Google Cloud предоставя услуга за отдалечена атестация, която позволява на потребителите да проверяват целостта и поверителността на техните Поверителни VM.
Същата основна технология се използва за поверителни GKE възли, но се прилага към Kubernetes клъстери. Това позволява поверителни контейнеризирани работни натоварвания.
Приложение в други големи облачни доставчици
Amazon Web Services AWS
AWS предлага поверително изчисление чрез своите Nitro Enclaves. Отличителните аспекти включват:
* Интеграция с AWS Key Management Service (KMS) за сигурно управление на ключове;
* Използване на Nitro Secure Processor, специално разработен хардуерен модул за сигурност;
* Фокус върху изолирани изчислителни среди вместо пълни VM.
Microsoft Azure
Предложенията на Azure за поверително изчисление са доста изчерпателни, включващи:
* Azure Confidential Computing VM: Използване на Intel SGX технология;
* Azure Kubernetes Service (AKS) с възли за поверително изчисление;
* DC-серия VM: Използване на AMD SEV-SNP технология;
* Интеграция с Azure Attestation услуга за отдалечена атестация.
Важно е да се отбележи, че въпреки че поверителното изчисление осигурява силна защита за данните в употреба, то не е универсално решение. Приложенията, работещи в Поверителни VM, все още трябва да бъдат правилно защитени, а данните, напускащи TEE (например за съхранение или мрежова комуникация), се нуждаят от подходяща защита.
Google Cloud продължава да развива своите предложения за поверително изчисление, работейки върху интегрирането на Intel SGX технология и изследвайки начини да направи поверителното изчисление по-достъпно и производително.