Confidential computing: feldolgozás közben is titkosított adatok

Cloud PlatformBodnár Ádám

Új képesség érkezik hamarosan a Microsoft Azure-be. A Confidential Computing révén az adatok feldolgozás közben is titkosítva vannak.

Az Azure már régóta rendelkezik adattitkosítási képességekkel és a nyugalomban levő adatok (data in rest) esetében ezt sok esetben külön kérnie sem kell az ügyfélnek, hiszen alapesetben be van kapcsolva. Hamarosan azonban a “data in use”, vagyis feldolgozott adatok titkosítása is megtörténik, erre szolgál az egyelőre előzetesként tesztelhető Confidential Computing képesség.

A Confidential Computing feladata, hogy a feldolgozás alatt levő adatok biztonságát növelje, a támadások kockázatát csökkentve. A Microsoft négy éve kezdett bele ennek a fejlesztésébe, amelyben partner volt az Intel is. A feladat: megakadályozni a felhasználói adatokhoz történő illetéktelen hozzáférést például emelt jogosultságukkal visszaélő felhasználók vagy kompromittált szoftverekkel operáló támadók számára. A Microsoft várakozásai szerint a Confidential Computing segít lebontani azokat a biztonsági aggályokat, amelyek miatt számos ügyfél még ma is ódzkodik a felhőtől.

A koncepció lényege, hogy a felhasználói adatok feldolgozása a felhőben is egy elzárt, biztonságos környezetben (Trusted Execution Environment, TEE) történik. A TEE feladata garantálni, hogy az információkhoz kívülről ne lehessen hozzáférni, még debugger segítségével sem. Emellett a TEE hivatott garantálni, hogy a felhasználói adatokat csak ellenőrzött kód érinthesse, amennyiben a jóváhagyott kódot módosítják, a műveletek nem futnak le.

A Microsoft egyes felhőszolgáltatásokban már jelenleg is alkalmaz ilyen technológiát (pl. SQL Always Encrypted), most pedig elérhetővé teszi azt az ügyfelek számára is. Kezdetben kétféle TEE-t támogat a cég: az egyik a Windows Server 2016 Hyper-V által megvalósított Virtual Secure Mode, amely lehetetlenné teszi a benne tárolt információhoz történő külső hozzáférést, illetve a benne futó kód módosítását. A másik támogatott technológia az Intel SGX, amelyhez ilyen technológiával rendelkező hardverek szükségesek, ezek hamarosan elérhetők a Microsoft adatközpontjaiban. A Microsoft emellett együttműködik más gyártóttal további TEE technológiák implementálásán.

A Confidential Computing egyelőre zárt előzetesben tesztelhető, a programra jelentkezni itt lehet. Aki szeretne a technológia hátteréről olvasni. ezen a linken találja a Microsoft Research által publikált dokumentumokat.

 

 

Szólj hozzá!

komment