For bedriften er data som luften vi puster inn. Samtidig ser data ut til å være uforsvarlige, med datainnbrudd og tap av immaterielle rettigheter en nær sikkerhet.
Nye teknologier kommer regelmessig for å gi håp om at data som brukes til syvende og sist, faktisk kan beskyttes. Homomorf kryptering har dukket opp som et interessant alternativ. Konfidensiell databehandling er også en potensiell spillskifter for data, og den har blitt bredt tatt i bruk av offentlige skyselskaper, serverprodusenter og brikkeprodusenter.
I dag kan data sikres i lagring og transitt, men de blir stående på vidt gap under utførelse. Få tilgang til en skyvert, for eksempel, og du får tilgang til data i minnet som må forbli ukryptert for å samsvare med gjeldende databehandlingslover. Faktisk forhindrer denne eksponerte «data i bruk» organisasjoner med sensitive eller regulerte data fra å bruke offentlig skyinfrastruktur.
Data må være fullstendig og konsekvent sikret, uten hull som angripere eller useriøse innsidere kan målrette mot. Ideen om å etablere en sikker perimeter for data som forblir med dataene og gjelder de tre tilstandene – lagring, overføring og utførelse – har lenge vært ettertraktet.
En bedriftsvisjon, to teknologier
Løftet om selvsikre data ble kanskje best uttrykt av en CISO i et SaaS-selskap: «Når sikkerhet flyter sammen med data overalt, betyr ikke lenger den faktiske plasseringen. Selv data på helt upålitelige og risikofylte steder er helt sikre. Det gir oss en fantastisk frihet til å distribuere selv sensitive data på tvers av hvilken som helst sky og hvilken som helst geografi uansett årsak. For CISOer og virksomheten er det utrolig befriende.»
Selvsikrende data krever å eliminere gapet som eksisterer under utførelse eller behandling og sikre enhetlig, gapfri kryptering på tvers av alle datatilstander. To teknologier som håndterer denne utfordringen er homomorf kryptering og konfidensiell databehandling.
Med homomorf kryptering forblir data i teorien kryptert under utførelse. Dessverre har teknologien en lang vei å gå for å bli skalerbar og praktisk for bedriftsbruk. De tre typene homomorf kryptering skaper forvirring for bedrifter, og hver distribusjon er diktert av typen beregning som kreves av CPU. Homomorf kryptering støtter bare spesifikke aritmetiske operasjoner og kan ikke imøtekomme generell databehandling. Det betyr at det sannsynligvis ikke kommer på tale å kjøre en hyllevaredatabase som inneholder kundedataene dine. De millioner av sårbare eldre bedriftsapplikasjoner som vil ha størst fordel, kan heller ikke beskyttes. Til tross for all investering og interesse, er homomorf kryptering mer teoretisk på dette stadiet; å gjøre det lett brukbart av bedrifter er fortsatt en utfordring.
Et annet homomorfisk krypteringsproblem er hastighet. De begrensede beregningene som fullstendig homomorf kryptering (FHE) kunne gjøre, tok opprinnelig en billion ganger mer prosessering enn den samme beregningen ville ta ukryptert. Selv om ytelsen har forbedret seg betydelig over tid, er den fortsatt langt fra klar for praktisk bruk.
Og det er der risikokapitalpenger til støtte for homomorf kryptering ser ut til å strømme. Flere nylig finansierte selskaper er fokusert på enten å finne smale brukstilfeller der FHE fungerer eller på å forbedre ytelsen, enten matematisk eller gjennom spesialisert høykraftig maskinvare. Likevel er andre fokusert på å knekke regnestykket på FHE for å gjøre det mer generellt formål, hvis det er mulig. Noen mener det ikke er det.
På den annen side, etter år med utvikling, er konfidensiell databehandling nå allment tilgjengelig. Standard CPUer fra Intel og AMD har allerede konfidensielle databehandlingsmuligheter. Fra AWS til Azure til Google Cloud, alle offentlige skyleverandører har konfidensiell databehandling på sine eksisterende verter over hele verden.
Konfidensiell databehandling dekrypterer data
I stedet for å prøve å aktivere databehandling på krypterte data som FHE, dekrypterer konfidensiell databehandling data og opererer på dem innenfor de beskyttede rammene til pålitelig maskinvare. Den krypterer deretter resultatene før de sendes for å lagres i minnet. Effekten er at data aldri blir eksponert og alltid selvsikret gjennom kryptering. Driftsmiljøer og programvare får en rot av tillit som sikrer integriteten og identiteten til maskinvaren og programvaren som kjører på den.
Konfidensiell databehandling omgår ganske enkelt de fleste begrensningene som hamstring FHE. Beregninger, for eksempel, skjer raskt, med noen mindre overhead som kreves for maskinvarekryptering og dekryptering. Konfidensiell databehandling støtter også generell databehandling: Enhver applikasjon som kan kjøres i et åpent miljø, kan teoretisk fullføres i en konfidensiell databehandling “enklave.”
Det er noen utfordringer med konfidensiell databehandling. Fordi konfidensiell databehandling begrenser seg til å sikre “data i bruk” og bare på en enkelt vert, kan den i praksis ikke kjøre distribuerte applikasjoner eller de som krever nettverkskommunikasjon eller lagring. Disse appene må også bygges om for å kjøre i et konfidensielt datamiljø kalt en sikker enklave.
Til slutt, i likhet med FHE, mangler konfidensiell databehandling standarder. Når dette skrives, er det minst fem forskjellige og inkompatible konfidensielle datateknologier, noen fra samme selskap! Flere er på vei. Å velge mellom dem er ikke umulig, men er upraktisk for de fleste bedrifter – det krever en forpliktelse til visse CPUer, offentlige skyer eller begge deler.
Utallige mulighetsstudier har vist at konfidensiell datateknologi er sikker og levedyktig. Med tillegg av tilgjengelig programvare som kan gjøre disse funksjonene fullstendig transparente for utviklere og driftsteam, er konfidensiell databehandling helt klar til bruk. Applikasjoner og IT-infrastruktur kan bruke konfidensiell databehandling uten behov for endringer.
Programvareløsning: Confidential Cloud Computing
Veien til å løse de vanlige bedriftsutfordringene fra konfidensiell databehandling og FHE ble nylig skissert av et Futuriom Trends 2022-forum ledet av Scott Raynovich. Scott beskrev en programvarekonstruksjon han kalte en konfidensiell sky, en type «løft og skift»-teknologi som gjør bruken av konfidensiell databehandling gjennomsiktig og uten krav til kode- eller IT-prosessendringer. I en lignende tilnærming tatt av VMware med hensyn til virtualisering, abstraherer denne programvaren den proprietære teknologien, versjonsstyringen, maskinvaren og den offentlige skyen. Dette isolerer og fremtidssikrer bedriftens IT-organisasjoner med konfidensiell databehandling som støtter flere proprietære teknologier og distribuert beregning, slik at enhver arbeidsbelastning kan fullføres usynlig, i total isolasjon og med fullstendig privatliv over enhver offentlig sky.
Som en bedrift med data under økende trussel og visnende forsvar, hvor skal de smarte pengene og dataene dine gå? Konfidensiell cloud computing er den mest levedyktige veien til datasikkerhet og fantastisk datafrihet.