Was ist Confidential Computing?

Confidential Computing kann der Enterprise Security zuträglich sein. Das müssen Sie zum Thema wissen. [...]

2019 gründete sich unter Schirmherrschaft der Linux Foundation das Confidential Computing Consortium. Die Zielsetzung: Confidential-Computing-Standards zu definieren (c) pixabay.com

IT-Sicherheit bleibt eines der größten Sorgenkinder im Unternehmensumfeld, unabhängig davon, ob eigene Rechenzentren oder die Cloud zum Einsatz kommen. Lösungsanbieter, Maschinenhersteller und Cloud Provider haben in den letzten Jahren viele Maßnahmen getroffen, um das Security-Niveau anzuheben. Allerdings stand bei diesen Bemühungen in der Vergangenheit vor allem im Fokus, Daten im Ruhezustand sowie bei der Übertragung zu schützen.

So gut wie jedes System – auch Smartphones – verfügt über integrierte Verschlüsselung, die von speziellen Chips unterstützt wird. Wenig Beachtung findet dabei der Umstand, dass sich diese Verschlüsselung aus den Angeln heben lässt, wenn ein Angreifer es schafft, über eine maliziöse App oder Side Channel Intrusion auf die Device-Hardware zuzugreifen. Erlangt ein Angreifer dabei Zugang auf den Arbeitsspeicher eines Geräts, können sämtliche Daten ganz einfach abgegriffen, beziehungsweise kopiert werden. Dieses Risiko abzustellen, ist das Ziel von Confidential Computing (CC).

Confidential Computing – Definition

2019 gründete sich unter Schirmherrschaft der Linux Foundation das Confidential Computing Consortium. Die Zielsetzung: Confidential-Computing-Standards zu definieren und die Entwicklung von quelloffenen CC-Tools und -Frameworks voranzutreiben. Zu den Mitgliedern im CC Consortium gehören beispielsweise Alibaba, AMD, Arm, Facebook, Fortanix, Google, Huawei, IBM, Intel, Microsoft, Oracle, Swisscom, Tencent und VMware.

Einige der genannten Unternehmen stellen bereits entsprechende Tools zur Verfügung, in Zukunft könnten diese in ein Open Source Framework für Confidential Computing einfließen. Zu den Errungenschaften des Konsortiums zählen derzeit beispielsweise:

  • Software Guard Extensions SDK: Dieses Tool soll App-Entwickler mit speziell abgesicherten Bereichen innerhalb des Speichers dabei unterstützen, Programmcode (beziehungsweise Teile davon) und Daten im Hardware-Layer vor unbefugtem Zugriff zu schützen.
  • Open Enclave SDK: Ein quelloffenes Framework, das Entwicklern durch eine einfach Abstraktion die Programmierung von Trusted Execution Environment (TEE) Apps erlaubt, die auch in mehreren TEE-Umgebungen lauffähig sind.
  • Enarx: Dieses Projekt soll die Unabhängigkeit von der Hardware gewährleisten, um Applikationen mit TEE abzusichern.

Da die Standardisierungsbemühungen noch andauern, dürften in der Zukunft noch einige weitere Projekte hinzukommen, die ebenfalls in ein quelloffenes Confidential Computing Framework Einzug halten werden.

Im Gegensatz zur Verschlüsselung von Daten nutzt CC Hardware-basierte Funktionen, um ein Trusted Execution Environment für Daten, Rechenoperationen oder ganze Applikationen zu erzeugen. Confidential Computing isoliert die Umgebung (weder Betriebssystem noch VM können dann noch zugreifen) und schützt die Daten so vor unbefugtem Zugriff oder Manipulationen. Besonders kritisch ist das bei Systemen mit mehreren Benutzern – etwa virtualisierte Systeme oder solche in der Public Cloud: Hier besteht ein erhöhtes Risiko übergreifender Datenkontamination. Die Wahrscheinlichkeit, Opfer eines Seitenkanalangriffs zu werden, ist verglichen mit konventionellen Systemen relativ gering, da dies nur möglich wäre, wenn Angreifer direkten Zugriff auf die Hardware erlangen.

Confidential Computing – Einsatzgründe

Trusted Execution Environments bilden das Herzstück von Confidential Computing, sind aber eigentlich ein alter Hut. Sowohl für Arm- (Trust Zone) als auch x86-Chips (Intel SGX) sind TEEs bereits seit längerem verfügbar – seinen Ursprung nahm das Konzept bereits vor mehr als zehn Jahren mit den damals weit verbreiteten TPM-Modulen. Der Unterschied zu modernen TEE-Versionen: Diese werden in die Chips integriert und sind keine externen Addons, die möglicherweise über Verbindungsstücke kompromittiert werden können.

Obwohl TEEs nichts Neues sind, bringen sie nur wenige Unternehmen zum Einsatz und auch der Support durch die App Provider lässt eher zu wünschen übrig. Der Grund hierfür liegt insbesondere darin, dass Trusted Execution Environments relativ schwer zu implementieren sind und bislang nicht für alle Prozessoren zur Verfügung standen.

Nachdem der Trend inzwischen von On-Premises zur Multi-Cloud-Umgebung geht, besteht inzwischen auch ein größerer Bedarf dafür, Kunden- und Prozessdaten sowie die Algorithmen die sie verarbeiten, zu schützen.

Confidential Computing – für Unternehmen

Viele Cloud-Anbieter habe das erkannt und machen es ihren Kunden so einfach wie möglich, neue Confidential-Computing-Instanzen aufzusetzen und zu nutzen. Daraus ergibt sich eine Win-Win-Situation, denn die Kunden bekommen, was sie brauchen, um ihre Daten ohne zusätzlichen Aufwand zu schützen – die nötige Hardware stellen die Anbieter zur Verfügung. Die Zugangsbarrieren zu CC dürften deshalb in Zukunft weiter und schneller fallen.

Auch wenn das Konzept hinter Confidential Computing nicht der neueste Schrei ist: Trusted Execution Environments und CC in der Cloud nachen es für Unternehmen deutlich attraktiver, ihre Daten vor Applikations-Schwachstellen zu schützen. Unternehmen sind also gut damit beraten, Einsatzmöglichkeiten für Confidential Computing zu evaluieren.

Zwar gibt es immer noch keine einhundertprozentige Sicherheit, aber Confidential Computing kann das Security-Niveau in Unternehmen maßgeblich anheben – insbesondere in solchen Firmen, die Apps über die Cloud ausliefern.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Jack Gold ist Gründer und Chef-Analyst von J.Gold Associates, LLC., einem US-Beratungsunternehmen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*