Confidential Computing on cloud: una esigenza di tutti.


Negli ultimi periodi, si è sempre più apprezzata la necessità di una "Confidential Computing", e si è cominciato a parlare di TEE (Trusted Execution Environments) e di cifratura Omomorfica (come riportato in un articolo di Red Hot Cyber).


Il Confidential Computing, è un concetto in cui i dati crittografati possono essere elaborati in memoria per limitarne l'accesso ad un eventuale aggressore e garantire la protezione dei dati in uso. Il Confidential Computing è un concetto promosso dal Confidential Computing Consortium, un gruppo di organizzazioni che vuole costruire strumenti a supporto della protezione dei dati estendendo questo concetto anche ai cloud pubblici.


Ma l'elaborazione riservata, si concentra anche sulla sicurezza basata su software e hardware, garantendo che i dati siano protetti e crittografati insider dannosi, vulnerabilità di rete o da qualsiasi minaccia tecnologia.



Alcune di queste funzionalità sono ora disponibili nei server costruiti su chip di Amazon Nitro Enclaves, Intel SGX (Software Guard Extensions) e AMD SEV (Secure Encrypted Virtualization).


Il Confidential Computing per il cloud (o Confidential Cloud) utilizza queste tecnologie per stabilire un perimetro crittografico sicuro e tendenzialmente impenetrabile che si estende senza interruzioni su un hardware di fiducia per proteggere i dati in uso.

A differenza dei tradizionali approcci di sicurezza a più livelli che pongono barriere tra dati e malintenzionati o "crittografia standalone" per l'archiviazione o la comunicazione, il confidential cloud offre una forte protezione dei dati, inseparabile dai dati stessi.


Ciò a sua volta elimina la necessità dei livelli di sicurezza tradizionali, lasciando ai proprietari dei dati, il ​​controllo esclusivo ovunque i dati siano archiviati, trasmessi o utilizzati.


Il Confidential Cloud è simile al concetto di micro-segmentazione della rete e alla virtualizzazione delle risorse. Ma invece di isolare e controllare solo le comunicazioni di rete, il cloud confidenziale estende la crittografia dei dati e l'isolamento delle risorse a tutti gli elementi fondamentali e quindi elaborazione.


Questa tecnologi infatti riunisce tutto il necessario per eseguire "in modo confidenziale" qualsiasi carico di lavoro in un ambiente affidabile e isolato da parte degli addetti ai lavori, da software dannosi o da potenziali aggressori.



Ciò significa anche che i carichi di lavoro rimangono al sicuro anche nel caso in cui un server sia stato fisicamente compromesso. Anche ad un utente malintenzionato con accesso root ad un server verrebbe impedito in modo efficace di vedere i dati o di ottenerne l'accesso, offrendo un livello di sicurezza che la tradizionale micro-segmentazione non può permettere.


L'esposizione dei dati nel cloud, si è manifestata violentemente in alcune delle violazioni più pubblicizzate fino ad oggi, come ad esempio l'hack di CapitalOne che è divenuto il simbolo degli hack in cloud, quando i dati sono stati violati da un dipendente di AWS (Paige Thompson).

L'implementazione di un cloud riservato elimina la possibilità che gli addetti ai lavori del cloud stesso risultino a contatto con i dati, chiudendo la superficie di attacco altrimenti lasciata esposta al cloud provider.

Alcuni fornitori di software OEM, i più virtuosi, stanno già creando cloud confidenziali per proteggere le loro applicazioni. Redis ha recentemente annunciato una versione sicura del proprio software ad alte prestazioni da eseguire su più ambienti informatici protetti, creando in modo credibile quello che potrebbe essere il database commerciale più sicuro al mondo.


La Confidential computing di Azure, ha stretto una partnership con fornitori di cloud riservati per consentire la formazione e l'esecuzione sicure di qualsiasi carico di lavoro sull'infrastruttura esistente senza alcuna modifica dell'applicazione sottostante.


Sfruttare l'elaborazione riservata in precedenza richiedeva modifiche al codice per eseguire le applicazioni. Questo perché le tecnologie informatiche di Confidential Computing iniziali si sono concentrate sulla protezione della memoria.


Le applicazioni dovevano essere modificate per eseguire il codice ritenuto sensibile in segmenti di memoria protetti. La necessità di riscrivere e ricompilare le applicazioni è stato un grosso problema per la maggior parte delle aziende e non è nemmeno possibile nel caso di pacchetti legacy o preconfezionati.



Un nuovo percorso di implementazione "lift and shift" consente alle aziende di creare, testare e distribuire carichi di lavoro di dati sensibili all'interno di un cloud riservato protetto senza modificare o ricompilare l'applicazione. Quasi tutti i provider di servizi cloud, inclusi Amazon, Azure e Google, offrono oggi un'infrastruttura riservata che abilita il cloud.


Il software cloud riservato consente alle applicazioni e persino a interi ambienti di funzionare all'interno di una farm cloud riservata senza alcuna modifica. I livelli aggiunti di astrazione e virtualizzazione del software hanno il vantaggio di rendere il cloud riservato indipendente dalle numerose tecnologie e versioni di enclave proprietarie sviluppate da Intel, AMD, Amazon e ARM.




La sicurezza dei dati è l'ultimo ostacolo alla migrazione delle applicazioni nel cloud e al consolidamento delle risorse IT.


La risoluzione dei difetti di sicurezza del cloud ha compiuto un grande passo in avanti per la protezione dei dati sensibili. L'eliminazione della vulnerabilità sui dati, apre una nuova opportunità per le aziende di implementare semplicemente una nuova infrastruttura IT intrinsecamente più sicura costruita in un cloud riservato.