il delicato patto di fiducia • Il Registro

Funzionalità sponsorizzata Il concetto alla base del Confidential Computing non è nuovo: le organizzazioni utilizzano da tempo la tecnologia assistita da hardware per crittografare e decrittografare i dati. Ma il nuovo impulso del Confidential Computing Consortium, la nuova tecnologia e la maggiore dipendenza dai cloud pubblici off-premise per ospitare ed elaborare informazioni sensibili stanno spingendo a una rivalutazione più diffusa dei suoi vantaggi.

The Register ha recentemente incontrato Paul O’Neill, direttore Intel per lo sviluppo aziendale strategico e l’informatica riservata, e il suo collega Simon Johnson, Confidential Compute Lead, per chiedere di più su questo approccio alla sicurezza dei dati e sui prodotti Intel che lo supportano.

Domanda: Quindi inizia dalle basi, cos’è effettivamente il Confidential Computing?

O’Neill: Il Confidential Computing è un’iniziativa emergente incentrata sull’aiutare a proteggere i dati in uso utilizzando controlli basati su hardware. Il valore fondamentale del Confidential Computing e delle tecnologie basate sull’hardware è la capacità di isolare il software ei dati dall’infrastruttura sottostante – l’hardware ei sistemi operativi – mediante crittografia a livello hardware.

Oggi ci sono tre fasi nel ciclo di vita dei dati: dati inattivi, dati in volo e dati alla fonte. Abbiamo capito da tempo che i dati dovrebbero essere crittografati quando vengono archiviati. E sappiamo che dovresti anche crittografare i dati quando vengono inviati attraverso la rete e sappiamo come cercarne i segni.

Ma cosa succede quando i dati vengono elaborati attivamente in memoria, soprattutto oggi quando i sistemi sono in genere condivisi o addirittura gestiti da terze parti come un provider di cloud pubblico? Quindi proteggere e creare riservatezza per i dati in uso è una sorta di nuova frontiera, ed è ciò che chiamiamo Confidential Computing.

Johnson: L’informatica riservata è progettata come un modo per abilitare la protezione dei dati che vengono elaborati da una piattaforma dal proprietario della piattaforma che esegue il sistema stesso. Abbiamo iniziato effettivamente con una Grande Sfida nel 2006/2007 circa, quando stavamo cercando di risolvere il modo in cui mantenere un segreto su una piattaforma aperta. Quindi, invece di usare un pezzo specifico di silicio, usa solo un processore per uso generico, e questo si è evoluto in quello che ora è il Confidential Computing.

D: Perché ne abbiamo bisogno e come funziona?

O’Neill: Stiamo iniziando a vedere molta più crittografia dei dati alla fonte. Ma questo alla fine presenta problemi in quanto i dati devono essere decrittografati per essere elaborati e normalmente ciò accade in sede o in data center bloccati. Il Confidential Computing utilizza un Trusted Execution Environment (TEE) basato su hardware che consente l’elaborazione in memoria dei dati crittografati, riducendo così il rischio di esporli al resto del sistema e fornendo al contempo un livello più elevato di controllo e trasparenza per gli utenti.

Ad esempio, se pensi a un ambiente cloud multi-tenant, in cui i dati sensibili devono essere mantenuti isolati da altre porzioni privilegiate dello stack di sistema. Le Intel® Software Guard Extensions (SGX) integrate nei nostri chip per server Intel® Xeon® di ultima generazione svolgono un ruolo importante nel trasformare questa capacità in realtà. Poiché l’informatica si sposta su più ambienti, dall’on-premise al cloud pubblico e all’edge della rete, le organizzazioni necessitano di controlli di protezione che aiutino a salvaguardare la proprietà intellettuale (IP) e i dati del carico di lavoro sensibili ovunque risiedano.

D: I fornitori di cloud sono chiaramente fondamentali per il successo del Confidential Computing: cosa ci guadagnano?

O’Neill: Prima di entrare nella frase Confidential Computing quando è stato fondato il Confidential Computing Consortium nel 2018/2019, abbiamo lavorato con alcuni dei grandi fornitori di cloud su un problema particolare, in che modo trovare modi per massimizzare la fiducia. E quando si esaminano tutti gli scenari relativi al modo in cui i dati venivano gestiti in un ambiente cloud pubblico e persino in ambienti prem, ci sono quattro problemi da affrontare.

Il primo è la privacy dei dati. Ci sono state molte preoccupazioni riguardo agli attacchi interni, agli attacchi ai dati da parte di utenti con privilegi di accesso o alla fuga di dati nel cloud. Pertanto, i fornitori di servizi cloud hanno ritenuto importante proporre un meccanismo che offrisse ai clienti una privacy dei dati affidabile in modo che potessero portare i loro set di dati più sensibili nel cloud.

Il secondo riguarda la regolamentazione e la conformità, che come sanno tutti coloro che lavorano con i dati nel cloud pubblico è una strada un po’ rocciosa. Le organizzazioni possono trasferire i propri dati nel cloud e la conformità normativa richiede che siano gestiti e protetti durante l’intero ciclo di vita? E non basta crittografarlo. L’attestazione è il concetto di essere in grado di capire cosa è successo ai tuoi dati e quando è stato effettuato l’accesso, ecc., è tutto fondamentale per questo tipo di percorso di regolamentazione e conformità.

La terza area è stabilire la fiducia dei clienti nell’ambiente in cui il provider cloud opera per loro. Come fanno a conoscere il suo hardware Intel originale nel caso di Intel SGX, che è ancora una volta il luogo in cui l’attestazione gioca un ruolo chiave per fornire integrità nell’ambiente? Infine c’è la domanda di collaborazione tra più parti: in che modo due aziende utilizzano il cloud quasi come intermediario crittografico per condividere dati utilizzando l’apprendimento automatico con dati crittografati e modelli crittografati, ad esempio?

D: Il Confidential Computing è un approccio speculativo o è qualcosa che viene effettivamente applicato nel mondo reale in questo momento?

O’Neill: I provider stanno ora implementando Intel SGX nel cloud pubblico per offrire il Confidential Computing in modo che possano aiutare i clienti a fidarsi e comprendere l’integrità dell’ambiente in cui stanno lavorando. E ciò consente alle aziende del governo, dei servizi finanziari, della sanità e di altri settori, quelli che lavorano con i dati più sensibili nei settori più regolamentati, di stare al passo con l’economia del cloud.

Se pensi ad esempio a cose come l’antiriciclaggio (AML), le banche che utilizzano il cloud per collaborare internamente e con società esterne. Stanno prelevando dati da più giurisdizioni sulla privacy ed effettuando esami LEI (Legal Entity Identifier) ​​o altri processi AML. L’assistenza sanitaria intorno alla diagnosi di C, la prevenzione delle frodi assicurative, la prevenzione della criminalità informatica e le identità digitali: in queste aree ci sono molti casi d’uso di frutta di basso livello.

Ma ora vediamo sempre più diversi tipi di industrie che arrivano al Confidential Computing – vendita al dettaglio, pubblicità per esempio – soprattutto mentre ci spostiamo nel mondo senza cookie. Ci sono molte funzionalità relative all’esame della tecnologia pubblicitaria e alla derivazione di approfondimenti su persone particolari e su come interagiscono in modo crittografato.

La piattaforma di intelligenza artificiale riservata che Fortanix ha creato è estremamente importante. L’apprendimento automatico per la tutela della privacy utilizzato dall’ONG Hope for Justice è un ottimo esempio anche dal punto di vista economico. È qui che penso che il Confidential Computing abbia più vento in poppa. Abbiamo anche casi d’uso in cui le case automobilistiche vogliono addestrare sistemi di guida autonoma, in cui il rischio è che mentre hai filmato le strade, vedi i volti e le targhe delle persone, fondamentalmente molte informazioni di identificazione personale (PII).

Queste aziende vogliono evitare la creazione di cluster interni di GPU e utilizzare invece l’economia del cloud per eseguire questo tipo di carico di lavoro. Ma acquisire immagini visive di persone nel cloud rispettando il GDPR è difficile in un sistema critico per la sicurezza. Non devi chiedere il permesso a tutti ma il rischio è sempre lì. Il Confidential Computing consente loro di farlo su dati crittografati e di costruire efficacemente reti neurali nel cloud con marcatori molto efficienti, evitando di dover acquistare nuovo hardware dedicato che devono accendere e spegnere.

D: Allora il Confidential Computing è un cloud pubblico solo per giocare?

O’Neill: È un cloud pubblico solo per giocare? No, poiché la crittografia è adottata molto di più, c’è una crescente necessità di TEE per aiutare con la decrittografia dove i dati devono essere elaborati. Ad esempio, stiamo assistendo all’ascesa delle nuvole sovrane, che hanno molti gusti diversi e non sono necessariamente limitate agli iperscalari. In Germania, ci sono società di cloud sovrano che si occupano specificamente di assistenza sanitaria, che sono costruite per consentire alle aziende sanitarie tedesche di collaborare tra loro e utilizzare i dati che generano a beneficio dei cittadini tedeschi.

E anche questo è tutto basato su Intel SGX per fornire quella riservatezza, quel livello di privacy e quel livello di integrità su un cloud sovrano. Digitalizziamo anche piattaforme sanitarie specifiche per paese in cui cose come l’assicurazione sanitaria sono garantite dalla tecnologia. In Germania, ad esempio, il progetto e-ricevuta prevede la centralizzazione delle prescrizioni mediche in cui le persone possono effettuare consultazioni online con i propri medici e disporre di una piattaforma di prescrizione centrale e sicura tramite l’autenticazione. Intel SGX protegge tutto il back-end di quel progetto.

Lo stiamo vedendo anche nella crescita dei cloud governativi che utilizzano il Confidential Computing per la crittografia dei dati e per consentire alle persone di accedere [information] sulla base della necessità di sapere. Vediamo l’espansione di questo come nuvole interne, nuvole sovrane e diversi strati di nuvole. Questi si evolveranno anche in una parte fondamentale dell’iperscalare [portfolios] mentre portano il Confidential Computing nel loro arsenale. E mentre ci avviciniamo al 2024 e oltre, penso che vedremo un’accelerazione del cloud sovrano poiché la conformità diventerà più un salto che le aziende devono fare per entrare in diversi tipi di cloud.

D: Qualche piano per l’ulteriore sviluppo del Confidential Computing?

O’Neill: È qualcosa su cui continueremo a investire negli anni a venire, portando altre tecnologie a complemento. Il progetto Amber, ad esempio, fornirà un’attestazione indipendente come servizio che arriverà intorno al 2023. Ma credo che il Confidential Computing sia un viaggio che abbiamo appena iniziato e avremo un portafoglio multi-prodotto nei prossimi due anni.

Johnson: Abbiamo Intel SGX, che si occupa davvero di fornire l’isolamento delle applicazioni, e quindi Intel® TDX (Trusted Domain Extensions) sarà effettivamente il prodotto di prossima generazione da affiancare a SGX che consiste davvero nel fornire protezione a macchine virtuali e container. Vogliamo che il Confidential Computing sia ovunque in cui si verifica l’elaborazione dei dati. Quindi è sempre, ovunque, qualsiasi calcolo. Ciò significa che stai eseguendo un cloud fino al bordo della rete, diversi tipi di dispositivi, sia all’interno della CPU che all’interno di un processore grafico o qualche altro dispositivo di accelerazione. Dovresti essere in grado di fare il calcolo riservato in tutte queste cose.

Sponsorizzato da Intel.

Leave a Comment

Your email address will not be published. Required fields are marked *