Защита на данни по време на обработка в облака

Защитата на данните, докато се използват, е особено ценна в облачни среди
(снимка: CC0 Public Domain)

автор: Eugen Schank

В епохата на все по-сложни пробиви в данните и кибер заплахи, компаниите са в постоянно търсене на нови начини за защита на чувствителната си информация. Така навлиза поверителното изчисление – нов подход към сигурността на данните, който революционизира начина, по който мислим за защита на данните в облака.

Какво е поверително изчисление?

Поверителното изчисление е нова парадигма за сигурност, която цели да защити данните, докато се използват, допълвайки съществуващите защити за данни в покой и при пренос. Този подход е особено ценен в облачни среди, където обработката на чувствителни данни се извършва върху споделена инфраструктура.

Приложение в GCP

В Google Cloud поверителното изчисление се имплементира основно чрез използването на Поверителни виртуални машини (Confidential VMs) и Поверителни GKE (Google Kubernetes Engine) възли. Тези решения използват хардуерно базирани доверени среди за изпълнение (TEEs), по-специално технологията AMD Secure Encrypted Virtualization (SEV).

На техническо ниво, ето как работи поверителното изчисление в Google Cloud:

  1. Криптиране на паметта: Когато се стартира Поверителна VM, цялата памет на VM се криптира с уникален ключ за всяка VM инстанция. AMD EPYC процесорът генерира този ключ, който никога не се разкрива пред Google или други VM.
  2. Сигурно зареждане: Процесът на зареждане на VM се измерва криптографски и се проверява, за да се гарантира целостта на компонентите за зареждане и гостуващата операционна система.
  3. Криптирано състояние: Регистрите на процесора на VM и другото архитектурно състояние се криптират, когато VM не работи активно на физически процесор.
  4. Управление на ключовете: Хардуерът управлява изцяло ключовете за криптиране, по-специално AMD Secure Processor. Инфраструктурата на Google Cloud никога няма достъп до тези ключове.
  5. Изолация: TEE осигурява силна изолация между различните VM и от самия хипервайзор. Дори ако хипервайзорът е компрометиран, той не може да достъпи криптираната памет на Поверителните VM.
  6. Атестация: Google Cloud предоставя услуга за отдалечена атестация, която позволява на потребителите да проверяват целостта и поверителността на техните Поверителни VM.

Същата основна технология се използва за поверителни GKE възли, но се прилага към Kubernetes клъстери. Това позволява поверителни контейнеризирани работни натоварвания.

Приложение в други големи облачни доставчици

Amazon Web Services AWS

AWS предлага поверително изчисление чрез своите Nitro Enclaves. Отличителните аспекти включват:

* Интеграция с AWS Key Management Service (KMS) за сигурно управление на ключове;
* Използване на Nitro Secure Processor, специално разработен хардуерен модул за сигурност;
* Фокус върху изолирани изчислителни среди вместо пълни VM.

Microsoft Azure

Предложенията на Azure за поверително изчисление са доста изчерпателни, включващи:

* Azure Confidential Computing VM: Използване на Intel SGX технология;
* Azure Kubernetes Service (AKS) с възли за поверително изчисление;
* DC-серия VM: Използване на AMD SEV-SNP технология;
* Интеграция с Azure Attestation услуга за отдалечена атестация.

Важно е да се отбележи, че въпреки че поверителното изчисление осигурява силна защита за данните в употреба, то не е универсално решение. Приложенията, работещи в Поверителни VM, все още трябва да бъдат правилно защитени, а данните, напускащи TEE (например за съхранение или мрежова комуникация), се нуждаят от подходяща защита.

Google Cloud продължава да развива своите предложения за поверително изчисление, работейки върху интегрирането на Intel SGX технология и изследвайки начини да направи поверителното изчисление по-достъпно и производително.

Коментар