Informatica riservata: una quarantena per l’era digitale

Indubbiamente, il cloud computing è un pilastro dell’azienda.

Tuttavia, la maggiore adozione di cloud ibridi e pubblici, unita alle continue violazioni della sicurezza da parte di forze interne ed esterne, lascia molti con persistenti preoccupazioni sulla sicurezza del cloud. E giustamente.

Ciò rende ancora più fondamentale disporre di salvaguardie della privacy avanzate del 21° secolo, anche se questo si è spesso rivelato problematico nello spazio della sicurezza.

“Ad alto livello, la sicurezza informatica ha in gran parte assunto una forma incrementale, sfruttando gli strumenti tradizionali esistenti in risposta a nuovi attacchi”, ha affermato Eyal Moshe, CEO di HUB Security.

Ma questo è uno sforzo “costoso e impossibile da vincere”, ha sottolineato, data la “determinazione e le risorse dei giocatori malintenzionati” che possono raccogliere enormi profitti. Pertanto, è necessario “un cambio di paradigma di sicurezza che incorpori le difese tradizionali ma presuppone anche che non funzioneranno e che ogni sistema sia sempre vulnerabile”.

La soluzione, lui e altri dicono: il Confidential computing, una tecnologia emergente di cloud computing in grado di isolare e proteggere i dati durante l’elaborazione.

Colmare il divario di sicurezza

Prima che un’app possa elaborare i dati, passa attraverso una decrittazione in memoria. Ciò lascia i dati brevemente non crittografati – e quindi esposti – appena prima, durante e subito dopo la loro elaborazione. Gli hacker possono accedervi senza crittografia ed è anche vulnerabile alla compromissione dell’utente root (quando i privilegi di amministratore vengono assegnati alla persona sbagliata).

“Sebbene ci siano state tecnologie per proteggere i dati in transito o archiviati, mantenere la sicurezza mentre i dati sono in uso è stata una sfida particolare”, ha spiegato Justin Lam, analista di ricerca sulla sicurezza dei dati con S&P Global Market Intelligence.

L’informatica riservata cerca di colmare questa lacuna, fornendo sicurezza informatica per le informazioni altamente sensibili che richiedono protezione durante il transito. Il processo “aiuta a garantire che i dati rimangano riservati in ogni momento in ambienti affidabili che isolano i dati dalle minacce interne ed esterne”, ha spiegato Lam.

Come funziona l’informatica riservata

Isolando i dati all’interno di un’unità di elaborazione centrale (CPU) protetta durante l’elaborazione, le risorse della CPU sono accessibili solo a codice di programmazione appositamente autorizzato, altrimenti rendendo le sue risorse invisibili a “tutto e chiunque altro”. Di conseguenza, non è rilevabile da utenti umani, fornitori di cloud, altre risorse del computer, hypervisor, macchine virtuali e il sistema operativo stesso.

Questo processo è abilitato tramite l’uso di un’architettura basata su hardware nota come ambiente di esecuzione attendibile (TEE). Le entità non autorizzate non possono visualizzare, aggiungere, rimuovere o altrimenti alterare i dati quando si trovano all’interno del TEE, il che nega i tentativi di accesso e annulla un calcolo se il sistema viene attaccato.

Come ha spiegato Moshe, anche se l’infrastruttura informatica è compromessa, “i dati dovrebbero comunque essere al sicuro”.

“Ciò comporta una serie di tecniche di crittografia, decrittografia e controlli di accesso, quindi le informazioni sono disponibili solo al momento necessario, solo per l’utente specifico che dispone delle autorizzazioni necessarie all’interno di quell’enclave sicura”, ha affermato Moshe.

Tuttavia, queste enclavi “non sono l’unica arma nell’arsenale”. I “firewall ultra sicuri” che monitorano i messaggi in entrata e in uscita sono combinati con una gestione remota sicura, moduli di sicurezza hardware e autenticazione a più fattori. Le piattaforme incorporano politiche di accesso e approvazione nelle proprie enclavi, comprese CPU e/o GPU per le app, ha affermato Moshe.

Tutto sommato, questo crea un sistema di accessibilità e governance che può essere perfettamente personalizzato senza ostacolare le prestazioni, ha affermato. E l’informatica riservata ha un’ampia portata, in particolare quando si tratta di attacchi software, attacchi di protocollo, attacchi crittografici, attacchi fisici di base e attacchi di dump della memoria.

“Le aziende devono dimostrare la massima affidabilità anche quando i dati sono in uso”, ha affermato Lam, sottolineando che ciò è particolarmente importante quando le aziende elaborano dati sensibili per un’altra entità. “Tutte le parti ne traggono vantaggio perché i dati vengono gestiti in modo sicuro e rimangono riservati”.

Concetto in evoluzione, adozione

Il concetto sta rapidamente guadagnando terreno. Come previsto da Everest Group, uno “scenario migliore” è che l’informatica riservata raggiungerà un valore di mercato di circa 54 miliardi di dollari entro il 2026, rappresentando un tasso di crescita annuale composto (CAGR) dal 90% al 95%. La società di ricerca globale sottolinea che “si tratta, ovviamente, di un mercato nascente, quindi ci si aspettano grandi cifre di crescita”.

Secondo un rapporto di Everest Group, tutti i segmenti, inclusi hardware, software e servizi, dovrebbero crescere. Questa espansione esponenziale è alimentata da iniziative cloud e di sicurezza aziendali e da una crescente regolamentazione, in particolare nei settori sensibili alla privacy, tra cui quello bancario, finanziario e sanitario.

L’informatica riservata è un concetto che “si è spostato rapidamente da progetti di ricerca a offerte completamente implementate in tutto il settore”, hanno affermato Rohit Badlaney, vicepresidente di IBM Z Hybrid Cloud, e Hillery Hunter, vicepresidente e CTO di IBM Cloud, in un post sul blog .

Questi includono implementazioni di fornitori di servizi cloud AMD, Intel, Google Cloud, Microsoft Azure, Amazon Web Services, Red Hat e IBM. Le società di sicurezza informatica, tra cui Fortinet, Anjuna Security, Gradient Flow e HUB Security, sono anche specializzate in soluzioni informatiche riservate.

Everest Group indica diversi casi d’uso per l’informatica riservata, tra cui analisi collaborative per antiriciclaggio e rilevamento di frodi, ricerca e analisi sui dati dei pazienti e scoperta di farmaci e modelli di trattamento e sicurezza per i dispositivi IoT.

“La protezione dei dati è forte quanto l’anello più debole nella difesa end-to-end, il che significa che la protezione dei dati dovrebbe essere olistica”, hanno affermato Badlany e Hunter di IBM, che nel 2018 ha rilasciato i suoi strumenti IBM Hyper Protect Services e IBM Cloud Data Shield . “Le aziende di tutte le dimensioni richiedono un approccio dinamico e in evoluzione alla sicurezza incentrato sulla protezione a lungo termine dei dati”.

Inoltre, per facilitare l’uso diffuso, la Linux Foundation ha annunciato il Confidential Computing Consortium a dicembre 2019. La comunità del progetto è dedicata alla definizione e all’accelerazione dell’adozione del computing riservato e alla creazione di tecnologie e standard aperti per TEE. Il progetto riunisce fornitori di hardware, sviluppatori e host cloud e include impegni e contributi da organizzazioni membri e progetti open source, secondo il suo sito web.

“Una delle cose più interessanti del Confidential Computing è che, sebbene nelle fasi iniziali, alcuni dei più grandi nomi della tecnologia stiano già lavorando nello spazio”, loda un rapporto di Futurum Research. “Ancora meglio, stanno collaborando e lavorando per usare i loro poteri per il bene”.

Fiducia confidenziale

Le aziende vogliono sempre garantire la sicurezza dei propri dati, in particolare prima di trasferirli a un ambiente cloud. Oppure, come lo descrive un post sul blog della società di sicurezza informatica Fortinet, essenzialmente “fidandosi in una tecnologia invisibile”.

“L’informatica confidenziale mira a fornire un livello di sicurezza che riconosca il fatto che le organizzazioni non sono più in grado di muoversi liberamente all’interno del proprio spazio”, ha affermato Moshe.

I data center aziendali possono essere violati da soggetti esterni e sono anche soggetti a minacce interne (per dolo o negligenza). Con i cloud pubblici, nel frattempo, gli standard comuni non possono essere sempre assicurati o verificati contro attacchi sofisticati.

I perimetri che forniscono protezione sono sempre più facili da violare, ha sottolineato Moshe, soprattutto quando i servizi web servono così tanti clienti contemporaneamente. Poi c’è l’uso crescente dell’edge computing, che porta con sé “grandi requisiti di elaborazione dei dati in tempo reale”, in particolare in settori verticali altamente dispersi come la vendita al dettaglio e la produzione.

Lam ha convenuto che l’informatica riservata sarà sempre più importante in futuro per dimostrare la conformità alle normative e le migliori pratiche di sicurezza. “Crea e attesta” ambienti affidabili per l’esecuzione sicura dei programmi e per l’isolamento dei dati.

“Questi ambienti affidabili hanno un’importanza più tangibile, poiché il cloud computing in generale è sempre più astratto in piattaforme virtualizzate o serverless”, ha affermato Lam.

Tuttavia, le aziende non dovrebbero considerare l’informatica riservata un fine-tutto-tutto.

Data la crescente dinamica e prevalenza di cloud, IoT, edge e 5G, “gli ambienti di elaborazione riservati dovranno essere resilienti ai rapidi cambiamenti della fiducia e della domanda”, ha affermato.

L’elaborazione riservata potrebbe richiedere disponibilità futura dell’hardware e miglioramenti su “scala significativa”, ha affermato. E, come nel caso di tutti gli altri strumenti di sicurezza, è necessario prestare attenzione per proteggere altri componenti, politiche, identità e processi.

In definitiva, Lam ha sottolineato, come qualsiasi altro strumento di sicurezza, “non è una soluzione completa o infallibile”.