Was ist Confidential Computing
Mit COnfidential Computing werden sensible Daten während der Verarbeitung (in Process) in einer geschützten CPU-Enklave isoliert. Der Inhalt der Enklave, d. h. die verarbeiteten Daten und die zu ihrer Verarbeitung verwendeten Techniken, sind nur für autorisierte Programmiercodes zugänglich. Sie sind unsichtbar und können von niemandem eingesehen werden, nicht einmal vom Cloud-Anbieter.
Wie funktioniert Confidential Computing?
Im Allgemeinen müssen die Daten unverschlüsselt im Speicher liegen, bevor sie von einer Anwendung verarbeitet werden können. Dies macht die Daten vor, während und nach der Verarbeitung anfällig für Speicherabfragen, Root-User-Kompromittierung und andere bösartige Angriffe.
Confidential Computing löst dieses Cybersecurity-Problem durch den Einsatz einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE), die eine sichere Enklave innerhalb einer CPU darstellt. Das TEE ist mit eingebetteten Verschlüsselungsschlüsseln gesichert. Eingebettete Bestätigungsmechanismen stellen sicher, dass nur autorisierter Anwendungscode Zugriff auf die Schlüssel hat. Wenn Malware oder anderer nicht autorisierter Code versucht, auf die Schlüssel zuzugreifen, oder wenn der autorisierte Code gehackt oder in irgendeiner Weise verändert wird, verweigert das TEE den Zugriff auf die Schlüssel und bricht den Rechenprozess ab.
Auf diese Weise können sensible Daten im Speicher geschützt bleiben, bis die Anwendung das TEE anweist, die Daten zur Verarbeitung zu entschlüsseln. Während die Daten während des gesamten Berechnungsvorgangs entschlüsselt werden, sind sie für das Betriebssystem, den Hypervisor in einer virtuellen Maschine (VM), für andere Compute-Stack-Ressourcen und für den Cloud-Dienstanbieter und seine Mitarbeiter unsichtbar.
Warum Confidential Computing nutzen?
Schutz sensibler Daten
In Kombination mit der Verschlüsselung von Daten im Ruhezustand und bei der Übertragung beseitigt vertrauliches Computing das größte Hindernis für die Verlagerung sensibler oder stark regulierter Datensätze und Anwendungs-Workloads von einer lokalen Computing-Umgebung in ein Cloud-Ökosystem.
Schutz des geistigen Eigentums
Vertrauliche Datenverarbeitung wird nicht nur zum Schutz von Daten eingesetzt. TEE kann auch verwendet werden, um geschützte Geschäftslogik, Analysefunktionen, Algorithmen für maschinelles Lernen oder ganze Anwendungen zu schützen.
Sicheres Arbeiten mit Partnern
Mit Confidential Computing ist es möglich, sensible Daten mit der firmeneigenen Datenverarbeitung eines anderen Unternehmens zu kombinieren, um neue Lösungen zu entwickeln und dabei die Vertraulichkeit der Daten zu wahren. Keines der Unternehmen muss Daten oder geistiges Eigentum weitergeben, wenn es dies nicht möchte.