0
0
Recursos e serviços confidenciais de computação serão um diferencial competitivo para provedores de nuvem
A maioria das organizações já deveria ter dominado os dois primeiros pilares de proteção de dados – proteger dados em repouso e dados em trânsito – em seus ambientes corporativos híbridos. O terceiro pilar de proteção de dados – proteger dados em uso (ou seja, proteger e criptografar dados em uso enquanto estiver na memória e durante a computação) – tem sido evasivo, mas está em processo de ser abordado através do movimento transformacional comumente referido como computação confidencial.
Os líderes empresariais de tecnologia estão idealmente buscando planos de transformação que assumam a disponibilidade onipresente e a segurança de computação confidencial e a segurança de dados em uso será um padrão nativo da nuvem dentro de cinco anos.
As tecnologias, plataformas, e arquiteturas que permitem a computação confidencial evoluíram a um ritmo surpreendente – especialmente quando comparadas com as décadas que levou para a criptografia data-em-descanso evoluir de arquivos ZIP protegidos por senha no início dos anos 1990 para a criptografia baseada em hardware ativada por padrão de hoje bloqueada ao sistema de computação física, ou o esforço contínuo para transicionar padrões de dados em trânsito de HTTP para proteger HTTPS (de preferência usando TLS v1.3).
A pandemia global não reteve os avanços da nuvem pública e novas ofertas de serviços em computação confidencial. A infraestrutura de virtualização para computação confidencial construída em ambientes de execução confiáveis (TEEs) baseados em hardware em servidores que implementam extensões intel software guard(Intel SGX)estão geralmente disponíveis juntamente com visualizações de VMs confidenciais usando TEE baseado em hardware em servidores que suportam a extensão de virtualização criptografada segura daAMD (AMD SEV). Em paralelo, as opções confidenciais de computação começaram a se estender por serviços de nuvem para adotar os nódulos confidenciais da Kubernetes, bancos de dados SQL sempre criptografados, interfaces confidenciais de aprendizado de máquina, gerenciamento de chaves HSM e computação de borda IoT.
Pode ser difícil para os líderes de segurança acompanhar os avanços de hardware subjacentes e sua aplicabilidade. Por exemplo, os recursos de proteção de integridade de memória do Intel SGX são adequados para cargas de trabalho altamente sensíveis à segurança, mas pequenas, enquanto o AMD SEV é útil para “levantar e mudar” os aplicativos e serviços complexos ou legados existentes sem necessariamente refatorar o código existente. Enquanto isso, as extensões de domínio de confiança da Intel (Intel TDX) permitirão que máquinas virtuais isoladas de hardware (chamadas domínios de confiança), o estado criptografado de virtualização criptografado seguro (SEV-ES) da AMD ajudará a garantir que os VMs convidados sejam criptografados e atestáveis assim que pararem de funcionar, e muito mais avanços de hardware da Intel, AMD, Arm, NVIDIA, etc. que ajudam a mitigar ameaças novas e potencialmente intrusivas de memória, computação e atestado estarão disponíveis através dos principais provedores de nuvem no próximo ano ou dois.
Claramente, a computação confidencial está em um período de transição à medida que essas novas soluções habilitadas para hardware são adotadas e implantadas pelos principais provedores de nuvem e seus clientes mais avançados.
Embora seja fácil se perder nos avanços de recursos de segurança baseados em hardware que os provedores de silício estão fornecendo, a suposição de longo prazo que os líderes de segurança devem estar planejando é que a infraestrutura física garantirá verificavelmente que os processos enclaved, a memória e os dados que eles possuem ou manipulam estarão seguros de todo e qualquer olhar curioso – em particular, os provedores de nuvem e pilha de software – e que todos os serviços de nuvem (dos principais provedores de nuvem pública) funcionarão em um modo seguro de dados em uso por padrão. É razoável supor que dentro de cinco anos o termo “computação confidencial” se tornará supérfluo e um suposto componente nativo de todos os serviços de nuvem.
Enquanto isso, os recursos e serviços confidenciais de computação serão um diferencial competitivo para os grandes provedores de nuvem.
À medida que os avanços de hardware subjacentes e os provedores de nuvem pública estendem os recursos de segurança, integridade e atestado de dados em seus serviços disponíveis para o cliente, os líderes de tecnologia de negócios precisarão avaliar cada serviço de nuvem individualmente e assumir algum curto período de bloqueio específico na nuvem para os aplicativos personalizados que seu próprio negócio irá projetar.
Oportunidades que vão desde a lavagem de dinheiro até a análise de clientes nos setores de serviços financeiros, diagnósticos colaborativos de doenças e desenvolvimento de medicamentos em serviços de saúde, análise conjunta de inteligência e anticorrupção entre agências governamentais, etc., são um trecho de soluções de privacidade e preservação de confidencialidade recém-alcançadas de organizações que adotam soluções em nuvem confidenciais de ponta habilitadas para computação.
Algumas empresas podem se contentar em esperar até que a segurança de dados em uso se torne onipresente para concluir sua transformação digital. Embora os recursos confidenciais de computação estejam se expandindo e novos serviços de nuvem seguras sejam “fluidos” em sua evolução, há uma janela clara para que as empresas ágeis em tecnologia inovem e se assoem com seu provedor de nuvem para trazer novas categorias de produtos seguros ao mercado à frente de concorrentes e reguladores.
FONTE: SECURITY WEEK