מהו Confidential Computing ומה היתרונות שלו בעבודה עם סביבות ענן ציבורי?
מבוא להצפנת מידע
על-מנת להגן על מידע המאוחסן בענן, לרוב נבחר באחת מהחלופות הבאות:
· הצפנת מידע בעת תעבורה – על-מנת להגן על מידע בעת תעבורה ברשת האינטרנט, נהוג להשתמש בפרוטוקול TLS. הצפנת תעבורה באופן זה מאפשרת לשמור על חיסיון המידע מגורמים בלתי מורשים.
· הצפנת תעבורה בעת אחסון – על מנת להגן על מידע בעת אחסון (דוגמת מידע בבסיס נתונים, ב-Object Storage ועוד), נהוג להצפין את המידע באמצעות אלגוריתם הצפנה סימטרי (אותו מפתח משמש להצפנה ולפענוח המידע), דוגמת AES256.
כאשר נרצה לגשת למידע מוצפן, עלינו לפענח את המידע בזיכרון המחשב, על-מנת להיות מסוגלים לגשת למידע, לקרוא ולעדכן אותו.
זה המקום בו טכנולוגיית Confidential Computing נכנסת לתמונה – ניסיון להגן על המידע בפער שבין מידע בעת תעבורה לבין מידע בעת אחסון.
טכנולוגיית Confidential Computing מבוססת על רכיב חומרה הנועד לבודד את המידע. המידע מוצפן בתוך שכבת ריצה מאובטחת – Trusted execution environment (TEE).
נכון לרגע זה (נובמבר 2020), טכנולוגיית Confidential Computing נתמכת ע"י טכנולוגיית Intel Software Guard Extensions (SGX) וטכנולוגיית AMD Secure Encrypted Virtualization (SEV), המבוססת על משפחת מעבדי AMD EPYC.
השוואת פתרונות
שרטוטי ארכיטקטורה לדוגמא
AMD SEV Architecture:
Azure Kubernetes Service (AKS) Confidential Computing:
Data-in-use protection on IBM Cloud using Intel SGX:
מקורות מידע נוספים
· Confidential Computing: Hardware-Based Trusted Execution for Applications and Data
· Google Cloud Confidential VMs vs Azure Confidential Computing
https://msandbu.org/google-cloud-confidential-vms-vs-azure-confidential-computing/
· A Comparison Study of Intel SGX and AMD Memory Encryption Technology
https://caslab.csl.yale.edu/workshops/hasp2018/HASP18_a9-mofrad_slides.pdf
· SGX-hardware list
https://github.com/ayeks/SGX-hardware
· Performance Analysis of Scientific Computing Workloads on Trusted Execution Environments
https://arxiv.org/pdf/2010.13216.pdf
· Helping Secure the Cloud with AMD EPYC Secure Encrypted Virtualization
https://developer.amd.com/wp-content/resources/HelpingSecuretheCloudwithAMDEPYCSEV.pdf
· Azure confidential computing
https://azure.microsoft.com/en-us/solutions/confidential-compute/
· Azure and Intel commit to delivering next generation confidential computing
· DCsv2-series VM now generally available from Azure confidential computing
· Confidential computing nodes on Azure Kubernetes Service (public preview)
https://docs.microsoft.com/en-us/azure/confidential-computing/confidential-nodes-aks-overview
· Expanding Google Cloud’s Confidential Computing portfolio
· A deeper dive into Confidential GKE Nodes—now available in preview
https://cloud.google.com/blog/products/identity-security/confidential-gke-nodes-now-available
· Using HashiCorp Vault with Google Confidential Computing
https://www.hashicorp.com/blog/using-hashicorp-vault-with-google-confidential-computing
· Confidential Computing is cool!
https://medium.com/google-cloud/confidential-computing-is-cool-1d715cf47683
· Data-in-use protection on IBM Cloud using Intel SGX
https://www.ibm.com/cloud/blog/data-use-protection-ibm-cloud-using-intel-sgx
· Why IBM believes Confidential Computing is the future of cloud security
· Alibaba Cloud Released Industry's First Trusted and Virtualized Instance with Support for SGX 2.0 and TPM
המאמר נכתב ע"י אייל אסטרין, ארכיטקט ענן במרכז החישובים הבינאוניברסיטאי
המאמר המקורי מופיע בקישור
מהו Confidential Computing ומה היתרונות שלו בעבודה עם סביבות ענן ציבורי?
מבוא להצפנת מידע
על-מנת להגן על מידע המאוחסן בענן, לרוב נבחר באחת מהחלופות הבאות:
· הצפנת מידע בעת תעבורה – על-מנת להגן על מידע בעת תעבורה ברשת האינטרנט, נהוג להשתמש בפרוטוקול TLS. הצפנת תעבורה באופן זה מאפשרת לשמור על חיסיון המידע מגורמים בלתי מורשים.
· הצפנת תעבורה בעת אחסון – על מנת להגן על מידע בעת אחסון (דוגמת מידע בבסיס נתונים, ב-Object Storage ועוד), נהוג להצפין את המידע באמצעות אלגוריתם הצפנה סימטרי (אותו מפתח משמש להצפנה ולפענוח המידע), דוגמת AES256.
כאשר נרצה לגשת למידע מוצפן, עלינו לפענח את המידע בזיכרון המחשב, על-מנת להיות מסוגלים לגשת למידע, לקרוא ולעדכן אותו.
זה המקום בו טכנולוגיית Confidential Computing נכנסת לתמונה – ניסיון להגן על המידע בפער שבין מידע בעת תעבורה לבין מידע בעת אחסון.
טכנולוגיית Confidential Computing מבוססת על רכיב חומרה הנועד לבודד את המידע. המידע מוצפן בתוך שכבת ריצה מאובטחת – Trusted execution environment (TEE).
נכון לרגע זה (נובמבר 2020), טכנולוגיית Confidential Computing נתמכת ע"י טכנולוגיית Intel Software Guard Extensions (SGX) וטכנולוגיית AMD Secure Encrypted Virtualization (SEV), המבוססת על משפחת מעבדי AMD EPYC.
השוואת פתרונות
שרטוטי ארכיטקטורה לדוגמא
AMD SEV Architecture:
Azure Kubernetes Service (AKS) Confidential Computing:
Data-in-use protection on IBM Cloud using Intel SGX:
מקורות מידע נוספים
· Confidential Computing: Hardware-Based Trusted Execution for Applications and Data
· Google Cloud Confidential VMs vs Azure Confidential Computing
https://msandbu.org/google-cloud-confidential-vms-vs-azure-confidential-computing/
· A Comparison Study of Intel SGX and AMD Memory Encryption Technology
https://caslab.csl.yale.edu/workshops/hasp2018/HASP18_a9-mofrad_slides.pdf
· SGX-hardware list
https://github.com/ayeks/SGX-hardware
· Performance Analysis of Scientific Computing Workloads on Trusted Execution Environments
https://arxiv.org/pdf/2010.13216.pdf
· Helping Secure the Cloud with AMD EPYC Secure Encrypted Virtualization
https://developer.amd.com/wp-content/resources/HelpingSecuretheCloudwithAMDEPYCSEV.pdf
· Azure confidential computing
https://azure.microsoft.com/en-us/solutions/confidential-compute/
· Azure and Intel commit to delivering next generation confidential computing
· DCsv2-series VM now generally available from Azure confidential computing
· Confidential computing nodes on Azure Kubernetes Service (public preview)
https://docs.microsoft.com/en-us/azure/confidential-computing/confidential-nodes-aks-overview
· Expanding Google Cloud’s Confidential Computing portfolio
· A deeper dive into Confidential GKE Nodes—now available in preview
https://cloud.google.com/blog/products/identity-security/confidential-gke-nodes-now-available
· Using HashiCorp Vault with Google Confidential Computing
https://www.hashicorp.com/blog/using-hashicorp-vault-with-google-confidential-computing
· Confidential Computing is cool!
https://medium.com/google-cloud/confidential-computing-is-cool-1d715cf47683
· Data-in-use protection on IBM Cloud using Intel SGX
https://www.ibm.com/cloud/blog/data-use-protection-ibm-cloud-using-intel-sgx
· Why IBM believes Confidential Computing is the future of cloud security
· Alibaba Cloud Released Industry's First Trusted and Virtualized Instance with Support for SGX 2.0 and TPM
המאמר נכתב ע"י אייל אסטרין, ארכיטקט ענן במרכז החישובים הבינאוניברסיטאי
המאמר המקורי מופיע בקישור
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר