Er konfidensiell databehandling fremtiden for cybersikkerhet? Edgeless Systems regner med det

Med det maskinvarebaserte konfidensiell databehandling teknologi, datamaskinarbeidsbelastninger er skjermet fra deres miljøer, og data krypteres selv under behandling – og alt dette kan fjernverifiseres.

Felix Schuster, administrerende direktør i et fremvoksende konfidensielt selskap Kantløse systemersa det “store og tidligere uløste” problemet dette tar opp er: Hvordan behandler du data på en datamaskin som potensielt er kompromittert?

“Konfidensiell databehandling lar deg bruke offentligheten Sky som om det var din private sky,” sa han.

For å utvide disse egenskapene til den populære Kubernetes-plattformen, lanserte Edgeless Systems i dag sin første Confidential Kubernetes-plattform, Constellation. Dette lar hvem som helst holde Kubernetes-klynger verifiserbart skjermet fra underliggende skyinfrastruktur og kryptert ende-til-ende.

Som Schuster sa det, vil konfidensiell datamaskinvare snart være et allestedsnærværende, mainstream-krav. Faktisk, i noen europeiske land i e-helseområdet, er konfidensiell databehandling allerede et regulatorisk krav.

“Folk vil ønske og forvente det for de fleste arbeidsbelastninger, akkurat som de forventer at antivirus og brannmurer skal være til stede,” sa han. “CISOer vil snart måtte forklare administrerende direktører hvorfor de ikke bruker konfidensiell databehandling.”

Raskt voksende marked for konfidensiell databehandling

Konfidensiell databehandling er hva noen – inkludert Edgeless Systems – kaller en revolusjonerende ny teknologi som kan endre cybersikkerhet spill. Og det vokser raskt i adopsjon.

I følge Everest-gruppener et “best-case scenario” at konfidensiell databehandling vil oppnå en markedsverdi på omtrent 54 milliarder dollar innen 2026, noe som representerer en sammensatt årlig vekstrate (CAGR) på hele 90 % til 95 %.

Alle segmenter – fra maskinvare til programvare til tjenester – vil vokse, spår firmaet. Utvidelsen blir drevet av bedriftssky- og sikkerhetsinitiativer og økende regulering, spesielt i personvernsensitive bransjer, inkludert bank, finans og helsevesen.

For å fremme mer utbredt bruk kunngjorde Linux Foundation nylig Confidential Computing Consortium (CCC). Dette prosjektfellesskapet er dedikert til å definere og akselerere adopsjon og etablere teknologier og åpne standarder for pålitelig utførelsesmiljø (TEE), den underliggende arkitekturen som støtter konfidensiell databehandling.

CCC samler maskinvareleverandører, utviklere og skyverter, og inkluderer forpliktelser og bidrag fra medlemsorganisasjoner og åpen kildekode-prosjekter, ifølge nettstedet.

Skyleverandørene AMD, Intel, Google Cloud, Microsoft Azure, Amazon Web Services, Red Hat og IBM har allerede distribuert konfidensielle databehandlingstilbud. Et økende antall cybersikkerhetsselskaper inkludert Fortinet, Anjuna Sikkerhet, Gradientflyt og HUB-sikkerhet leverer også løsninger.

Kraften til “hele klyngen” attestering

Constellation er en Cloud Native Computing Foundation (CNCF)-sertifisert Kubernetes-distribusjon som kjører Kubernetes-kontrollplanet og alle noder inne konfidensielle VM-er. Dette gir runtime-kryptering for hele klyngen, forklarte Schuster.

Dette er kombinert med “hele klyngen” attestasjon, som skjermer hele klyngen fra den underliggende infrastrukturen “som en stor ugjennomsiktig blokk,” sa han.

Med helklyngetestering, når en ny node legges til, verifiserer Constellation automatisk dens integritet basert på den maskinvareroterte fjernattesteringsfunksjonen til konfidensielle VM-er. Dette sikrer at hver node kjører på en konfidensiell VM og kjører riktig programvare (det vil si offisielle Constellation-nodebilder), sa Schuster.

For Kubernetes admin gir Constellation en enkelt ekstern attestasjonserklæring som bekrefter alt dette. Mens eksterne attesteringserklæringer utstedes av CPU og ser mye ut som et TLS-sertifikat, kan Constellations CLI gi automatisk verifisering.

I hovedsak er hver node verifisert. “Kubernetes-administratoren verifiserer verifikasjonstjenesten og vet dermed transitivt at hele klyngen er pålitelig,” sa Schuster.

Constellation sier at det er den første programvaren som gjør konfidensiell databehandling tilgjengelig for ikke-eksperter. Å slippe den som åpen kildekode var kritisk fordi attestasjon er en nøkkelfunksjon ved konfidensiell databehandling. I lukket kildekode-programvare er det ellers vanskelig å etablere tillit til en attestasjon, sa Schuster.

“Maskinvaren og funksjonene som kreves for Constellation var stort sett ikke tilgjengelig i skyen for 12 måneder siden,” sa han. “Men vi startet det nødvendige arbeidet for å sikre at Kubernetes-brukere kan sikre alle dataene sine – i hvile, under transport og nå i bruk.”

Sikrere dataarbeidsbelastninger

Constellation krever ikke endringer i arbeidsbelastninger eller eksisterende verktøy, og det sikrer at alle data krypteres i hvile, under overføring og i bruk, forklarte Schuster. Disse egenskapene kan verifiseres eksternt basert på hardware-rooted sertifikater.

Ikke engang privilegerte skyadministratorer, datasenteransatte eller avanserte vedvarende trusler (APTer) i infrastruktur kan få tilgang til data inne i Constellation. Dette bidrar til å forhindre datainnbrudd og beskytter infrastrukturbaserte trusler som ondsinnede datasenteransatte eller hackere i skystrukturen. Det lar Kubernetes-brukere flytte sensitive arbeidsbelastninger til skyen – og dermed redusere kostnadene – og skape sikrere SaaS-tilbud.

Constellation fungerer med Microsoft Azure og Google Cloud Platform. Eventuell støtte for OpenStack og annen åpen kildekode-skyinfrastruktur inkludert Amazon Web Services (AWS) er planlagt, sa Schuster. Constellation er nå tilgjengelig på GitHub.

“Ved å gjøre Constellation tilgjengelig for alle,” sa Schuster, “kan vi bidra til å akselerere innføringen av sikrere arbeidsbelastninger for nettskydatabehandling.”