מכרזים

מהו Confidential Computing וכיצד הוא קשור לענן ציבורי?

מהו Confidential Computing ומה היתרונות שלו בעבודה עם סביבות ענן ציבורי?

מבוא להצפנת מידע

על-מנת להגן על מידע המאוחסן בענן, לרוב נבחר באחת מהחלופות הבאות:

הצפנת מידע בעת תעבורה
על-מנת להגן על מידע בעת תעבורה ברשת האינטרנט, נהוג להשתמש בפרוטוקול TLS. הצפנת תעבורה באופן זה מאפשרת לשמור על חיסיון המידע מגורמים בלתי מורשים.

הצפנת תעבורה בעת אחסון
על מנת להגן על מידע בעת אחסון (דוגמת מידע בבסיס נתונים, ב-Object Storage ועוד), נהוג להצפין את המידע באמצעות אלגוריתם הצפנה סימטרי (אותו מפתח משמש להצפנה ולפענוח המידע), דוגמת AES256.

כאשר נרצה לגשת למידע מוצפן, עלינו לפענח את המידע בזיכרון המחשב, על-מנת להיות מסוגלים לגשת למידע, לקרוא ולעדכן אותו. זה המקום בו טכנולוגיית Confidential Computing נכנסת לתמונה – ניסיון להגן על המידע בפער שבין מידע בעת תעבורה לבין מידע בעת אחסון. טכנולוגיית Confidential Computing מבוססת על רכיב חומרה הנועד לבודד את המידע. המידע מוצפן בתוך שכבת ריצה מאובטחת – Trusted execution environment (TEE).

נכון לרגע זה (נובמבר 2020), טכנולוגיית Confidential Computing נתמכת ע"י טכנולוגיית Intel Software Guard Extensions (SGX) וטכנולוגיית AMD Secure Encrypted Virtualization (SEV), המבוססת על משפחת מעבדי AMD EPYC.

השוואת פתרונות

שרטוטי ארכיטקטורה לדוגמא

AMD SEV Architecture:

 

Azure Kubernetes Service (AKS) Confidential Computing:

 

Data-in-use protection on IBM Cloud using Intel SGX:

 

מקורות מידע נוספים

Confidential Computing: Hardware-Based Trusted Execution for Applications and Data
https://confidentialcomputing.io/wp-content/uploads/sites/85/2020/10/ConfidentialComputing_Outreach_Whitepaper-8-5×11-1.pdf

Google Cloud Confidential VMs vs Azure Confidential Computing
https://msandbu.org/google-cloud-confidential-vms-vs-azure-confidential-computing/

A Comparison Study of Intel SGX and AMD Memory Encryption Technology
https://caslab.csl.yale.edu/workshops/hasp2018/HASP18_a9-mofrad_slides.pdf

SGX-hardware list
https://github.com/ayeks/SGX-hardware

Performance Analysis of Scientific Computing Workloads on Trusted Execution Environments
https://arxiv.org/pdf/2010.13216.pdf

Helping Secure the Cloud with AMD EPYC Secure Encrypted Virtualization
https://developer.amd.com/wp-content/resources/HelpingSecuretheCloudwithAMDEPYCSEV.pdf

Azure confidential computing
https://azure.microsoft.com/en-us/solutions/confidential-compute/

Azure and Intel commit to delivering next generation confidential computing
https://azure.microsoft.com/en-us/blog/azure-and-intel-commit-to-delivering-next-generation-confidential-computing/

DCsv2-series VM now generally available from Azure confidential computing
https://azure.microsoft.com/en-us/blog/dcsv2series-vm-now-generally-available-from-azure-confidential-computing/

Confidential computing nodes on Azure Kubernetes Service (public preview)
https://docs.microsoft.com/en-us/azure/confidential-computing/confidential-nodes-aks-overview

Expanding Google Cloud’s Confidential Computing portfolio
https://cloud.google.com/blog/products/identity-security/expanding-google-clouds-confidential-computing-portfolio

A deeper dive into Confidential GKE Nodes—now available in preview
https://cloud.google.com/blog/products/identity-security/confidential-gke-nodes-now-available

Using HashiCorp Vault with Google Confidential Computing
https://www.hashicorp.com/blog/using-hashicorp-vault-with-google-confidential-computing

Confidential Computing is cool!
https://medium.com/google-cloud/confidential-computing-is-cool-1d715cf47683

Data-in-use protection on IBM Cloud using Intel SGX
https://www.ibm.com/cloud/blog/data-use-protection-ibm-cloud-using-intel-sgx

Why IBM believes Confidential Computing is the future of cloud security
https://venturebeat.com/2020/10/16/why-ibm-believes-confidential-computing-is-the-future-of-cloud-security/

Alibaba Cloud Released Industry's First Trusted and Virtualized Instance with Support for SGX 2.0 and TPM
https://www.alibabacloud.com/blog/alibaba-cloud-released-industrys-first-trusted-and-virtualized-instance-with-support-for-sgx-2-0-and-tpm_596821