Confidential Computing vrací důvěru v cloud

Řešení tohoto problému nabízí platforma s označením Confidential Computing (CC): izolované hardwarové prostředí, kde jsou veškerý software i související data, které zde běží, chráněny před přístupem jiného softwaru či hardwaru.

Confidential Computing umožňuje end-to-end ochranu citlivých dat – od opuštění firemního prostředí až po vstup do cloudové infrastruktury. Stačí tak důvěřovat pouze procesorům a jejich výrobcům, protože přístup k nešifrovaným datům nemají poskytovatelé služeb a správci cloudu ani kybernetičtí útočníci. To je možné díky aktuální technologii Intel Trust Domain Extensions (TDX), která umožňuje běh celých virtuálních strojů v důvěryhodném prostředí a chrání veškerý software a data zpracovávaný ve virtuálním stroji na základě bezpečnostních funkcí v procesoru. Intel TDX přichází spolu se 4. generací procesorů Xeon Enterprise, např. v serverech Gigabyte.

Intel TDX chrání data v cloudu

Toho je dosaženo šifrováním příslušných dat v paměti a řízením přístupu v rámci procesoru. Výhody veřejného cloudu tak lze kombinovat s důvěrou, jakou nabízí lokální instalace v interní síti a velcí poskytovatelé cloudouvých služeb jako Alibaba, Azure, IBM a Google tvrdě pracují na implementaci této technologie ve svých cloudech.

Funkce Intel TDX se skládá ze dvou hlavních částí: TDX procesorů, které poskytují specifické schopnosti v hardwaru, a modulu TDX, což je softwarový modul, podepsaný a certifikovaný Intelem. TDX modul využívá schopnosti TDX procesorů k zabezpečenému vytvoření, provádění a ukončení důvěrných domén (Trusted domains, TD).



Foto: Bing.com (AI DALL·E 3)

Nabízí tři důležité výhody:

Důvěryhodnost paměti: Když data putují z procesoru do hlavní paměti, CPU je šifruje pomocí TDX-specifického klíče, který je známý pouze procesoru, obnovuje se při každém spuštění systému a každá TD má svůj vlastní klíč. CPU uchovává klíč bezpečně v hardwarově chráněné oblasti. Procesor také šifruje program v paměti. Periferní zařízení nemohou číst ani manipulovat s privátní pamětí TD bez schválení. Při načítání dat z hlavní paměti procesor data dešifruje a zkontroluje jejich integritu. Tím se detekují pokusy o manipulaci s daty.

Důvěryhodnost stavu CPU: Když běží několik TD současně (na různých jádrech), procesor využívá řízení přístupu k tomu, aby každá TD mohla přistupovat pouze ke svým datům. Jakmile jádro přeruší zpracování TD, procesor chrání stav CPU tím, že jej ukládá do metadat TD, které jsou chráněny v hlavní paměti TD klíčem. Při přepnutí kontextu TDX vyčistí nebo izoluje interní registry a vyrovnávací paměti procesoru specifické pro danou TD, aby zajistil ochranu informací.

Integritu zpracování: TDX chrání integritu zpracování TD před přerušením hostitele a zajistí, že TD pokračuje ve výpočtech po přerušení na očekávaném instrukčním bodě ve správném stavu. Navíc dokáže detekovat zákeřné změny ve virtuálním stavu CPU a vkládání, úpravu nebo odstranění instrukcí v privátní paměti.

TDX přináší funkci Secure Arbitration Mode (SEAM) pro kryptografickou izolaci důvěrných virtuálních strojů nazývaných důvěrné domény (TD). TDX staví na technikách, které již nabízejí servery Gigabyte, včetně technologie virtualizace (VT), Multi-Key Total Memory Encryption (MKTME) a technologie Trusted Execution Technology (TXT). Využívá rovněž rozšíření pro zabezpečení aplikací – Software Guard Extensions (SGX) a prvky pro ověření datového centra (Data Center Attestation Primitives – DCAP) pro ověření TD.



Modul Intel TDX v serverech Gigabyte s procesory Xeon 4. generace šifruje paměť v důvěrné doméně (TD).

Bezpečná práce v cloudu

Model hrozby nulové důvěry předpokládá, že privilegovaný software, jako jsou hypervizory, hostitelské operační systémy nebo firmware, není důvěrný nebo je alespoň zranitelný a také, že útočník může získat přístup k hlavní paměti nebo jiným zařízením. TDX chrání důvěrnost a integritu stavu CPU a paměti pro TD a rovněž umožňuje vlastníkům TD ověřit pravost prostřednictvím vzdálené diagnostiky. Kromě toho TD chrání také před mnoha útoky, které se odehrávají v distribuovaném virtualizovaném prostředí, jako je cloud. Odolá tak útokům jako Rowhammer, Meltdown nebo ROP (Return-Oriented Programming) a šifrování za běhu pak chrání i před fyzickými útoky, jako jsou cold boot nebo DRAM probing.



Řada serverů Gigabyte s procesory Intel Xeon Scalable 4. generace s funkcí Intel TDX je rozsáhlá, od serverů typu 1U, jako je R183 s různými konfiguracemi, po servery pro HPC/AI typu 5U, jako je G593-SDO, Foto: Gigabyte.

Kromě kryptografického zabezpečení prověřuje Intel TDX důvěrnou doménu pomocí ověření prostřednictvím vzdálené atestace. To umožňuje třetí straně získat potvrzení (tzv. quote), které lze použít k validaci následujících informací:

- Software běžící v TD je takový, jaký by měl být, a nebyl upravován (včetně firmwaru, jakéhokoli zaváděcího programu, operačního systému a aplikací).

- TD je chráněn pomocí TDX.

- Stroj je aktuální včetně posledních záplat.

S Intel TDX se virtuální stroje stávají důvěrnými. To znamená, že nyní existuje technologie, která umožňuje aplikacím běžet v trezoru, ať už v privátním, hybridním nebo veřejném cloudu. Zvláště datově náročné aplikace z toho těží v prostředích, kde to bylo dříve obtížné. V závislosti na zátěži a aplikacích nabízí Gigabyte vhodné systémy s funkcí Intel TDX, jako je např. server s vysokou hustotou H263-S64.

Šifrování databáze a náhrada za HSM

Databáze jsou často srdcem aplikace a je třeba je chránit, protože zpravidla zpracovávají a ukládají citlivá data. Proto jsou nezbytné koncepce zabezpečení, jako je šifrování dat při přenosu (Data-in-Transit) a šifrování dat v klidu (Data-at-Rest). I když je komunikace a úložiště zabezpečeno, jakmile databáze zpracovává data, jsou uložena v hlavní paměti v nešifrované podobě, což je v prostředí cloudu nežádoucí, protože stačí jednoduchý dump paměti k tomu, aby bylo možné tato databázová data získat.

Naopak, pokud databáze běží na serveru Gigabyte s funkcí Intel TDX v rámci TD, existují tři výhody pro administrátory:

- Data jsou šifrována i během zpracování (Data-in-Use).

- Není nutná komplikovaná rotace klíčů, protože dešifrovací klíč uložených dat není v paměti v textové podobě vzhledem k šifrování dat v klidu (Data-at-Rest).

- Není třeba provádět úpravy na straně aplikace ani v procesu vývoje.

Databáze je chráněna před třetími stranami díky ochraně dat při použití (Data-in-Use) v kombinaci s ochranou dat při přenosu (Data-in-Transit) a šifrováním dat v klidu (Data-at-Rest).

K posílení správy klíčů a prevenci extrakce a manipulace založené na softwaru se používá Hardware Security Module (HSM), a v rámci technologie TD lze drahé HSM nyní nahradit softwarovými, tzv. virtuálními HSM. TDX tak pokrývá funkční rozsah HSM s tou výhodou, že kryptografii lze snadněji obměňovat, jelikož procesor s podporou TDX může spravovat miliony klíčů v rámci technologie TD. Za nízké náklady lze integrovat i vlastní, nestandardní nebo kvantově bezpečné algoritmy. V izolovaném TD lze také implementovat složitější aplikace pro správu hesel, PKI a identit.



Server Gigabyte H263-S64 s vysokou hustotou osazený mimo jiné dvěma škálovatelnými procesory Intel Xeon 4. generace s technologií Intel TDX, Foto: Gigabyte.

Důvěryhodné cloudové prostředí

Jedním z problémů cloudového prostředí, jako je Microsoft 365, je, že často nelze zaručit, že data zůstanou v souladu s obecným nařízením o ochraně osobních údajů uvnitř Evropy, která má na tyto záležitosti přísné požadavky. Hosting v interním datovém centru toto sice zajistí, ale přinese zároveň administrativní požadavky a zodpovědnost za ochranu dat před krádeží a zneužitím. Aby se snížila zátěž IT oddělení, je vhodné použít řešení SaaS. A řešením pro tuto situaci je právě Confidential Computing s technologií Intel TDX. Například, pokud poskytovatel SaaS provozuje kontejner Nextcloud v rámci technologie TD, nemá přístup k vašim datům, ale může zaručit dostupnost služby, aplikovat aktualizace a také provádět opatření proti kybernetickým útokům. IT oddělení společnosti se pak musí zabývat pouze řízením přístupu.

Předtím, než se firmy rozhodnou zpracovávat svá data v cloudu, měly by zvážit IT bezpečnost a spolehlivost dat a kódu během zpracování. S procesory Intel Xeon a servery Gigabyte s technologií Intel TDX je možné pracovat v cloudu bezpečně, data a kód aplikací jsou chráněny prostřednictvím bezpečnostních funkcí přímo v CPU, v prostředí důvěryhodného provádění, a spolehlivost lze ověřit i prostřednictvím vzdálené atestace. Servery Gigabyte s technologií Intel TDX tak pomáhají výrazně zvýšit IT bezpečnost a spolehlivost cloudových aplikací a splňují požadavky na ochranu dat.