Confidential Computing, xu hướng điện toán tiếp theo giúp Cloud bớt rủi ro hơn cho doanh nghiệp

Bảo mật dữ liệu trong khi sử dụng sẽ mở ra cánh cửa từ trung tâm dữ liệu tại chỗ đến đám mây cho nhiều ứng dụng hơn.

Việc cung cấp nền tảng Confidential Computing mới hỗ trợ AMD của Google Cloud không phải là nỗ lực duy nhất nhằm bảo vệ dữ liệu khi các ứng dụng đang sử dụng. Tất cả các nhà cung cấp đám mây lớn, bao gồm Amazon Web Services, Microsoft Azure và IBM Cloud đều có cách tiếp cận riêng của họ đối với thách thức bảo mật dữ liệu nhạy cảm trong thời gian vận hành – một rào cản lớn đối với việc chuyển một số ứng dụng doanh nghiệp từ các trung tâm dữ liệu của công ty tại chỗ sang đám mây.

Confidential Computing – Điện toán an toàn là gì?

Confidential Computing (điện toán an toàn) là sự bảo vệ dữ liệu trong khi đang sử dụng thông qua việc cô lập các thành phần xử lý với môi trường thực thi tin cậy và dựa trên phần cứng (Trusted Execution Environment, TEE). Trong khi dữ liệu được mã hóa theo cách truyền thống ở trạng thái nghỉ và khi truyền, nhưng với Confidential Computing, dữ liệu của bạn sẽ được bảo vệ trong khi nó đang được xử lý.

Giải pháp ảo hóa hạ tầng lưu trữ

Theo một cuộc khảo sát tại Linux Foundation Open Source Summit vào tháng 6 của Confidential Computing Consortium, chỉ 30% người tham dự đã nghe nói về công nghệ này, nhưng nó hứa hẹn sẽ thay đổi cách nhìn của các tổ chức có nhận thức về bảo mật hơn đối với cơ sở hạ tầng đám mây công cộng.

Stephen Walli, chủ tịch hội đồng quản trị của Confidential Computing Consortium và giám đốc chương trình chính tại Microsoft.

Khi nhiều ứng dụng được chuyển lên đám mây hoặc ra ngoài ranh giới nội bộ, các biện pháp bảo vệ an ninh vành đai truyền thống bị hạn chế về khả năng bảo vệ khỏi các cuộc tấn công, ông nói với Data Center Knowledge. Ngoài ra, có những thách thức trong việc bảo vệ chống lại nhân viên của chính nhà cung cấp dịch vụ đám mây của bạn hoặc chống lại các khách hàng khác của cùng một dịch vụ được chia sẻ.

Walli nói thêm : “Đã có những vi phạm dữ liệu cấp cao, chẳng hạn như vi phạm Target , có thể được ngăn chặn nếu Confidential Computing được sử dụng để bảo vệ các ứng dụng.

Môi trường thực thi tin cậy dựa trên phần cứng bảo vệ chống lại những kẻ tấn công có quyền truy cập vật lý vào phần cứng, quyền truy cập root vào hệ điều hành máy chủ hoặc hypervisor hoặc quyền truy cập đặc quyền vào hệ thống điều phối. Ông giải thích: “Điều này cho phép nhiều khối lượng công việc chuyển sang đám mây công cộng mà trước đây không thể do các mối quan tâm về bảo mật hoặc yêu cầu tuân thủ”.

Theo nhà phân tích Steve Riley của Gartner, Confidential Computing trong môi trường thực thi tin cậy dựa trên phần cứng, hay còn gọi là “enclave”, bảo vệ mã và dữ liệu khỏi những kẻ tấn công, bao gồm những kẻ có quyền truy cập nội bộ, chẳng hạn như nhân viên của nhà cung cấp dịch vụ.

Cách tiếp cận này có ý nghĩa hơn trong môi trường đám mây hơn là tại chỗ. Riley nói với DCK: “Đối với khối lượng công việc hoàn toàn nằm trong trung tâm dữ liệu của riêng bạn, chúng tôi không thấy nhiều giá trị.

Bảo mật dựa trên phần cứng

Confidential Computing đã có một bước tiến lớn khác đối với xu hướng chủ đạo vào tháng trước, khi Google Cloud công bố bản beta công khai của dịch vụ Confidential Computing mới của mình. Nhưng công nghệ này đã tồn tại được một thời gian.

Ví dụ, IBM đã có Confidential Computing trên các máy tính lớn IBM Z của mình trong vài năm nay, lần đầu tiên ở phiên bản beta, và sau đó, vào mùa xuân này, dịch vụ Safe Execution trên Linux của họ đã trở nên phổ biến.

Rohit Badlaney, Phó chủ tịch IBM Z Hybrid Cloud tại IBM cho biết: “Chúng tôi đang ở thế hệ thứ tư thực sự nghiên cứu về Confidential Computing, cả trên tiền đề và trên đám mây.

Ông cho biết, công nghệ này được sử dụng rộng rãi bởi các khách hàng doanh nghiệp của IBM, bao gồm Bank of America, Daimler và Apple.

Giống như Google Cloud, nền tảng của IBM không yêu cầu viết lại các ứng dụng.

Badlaney nói với DCK : “Toàn bộ công nghệ bao quanh này được thiết kế xung quanh các container của Open Container Initiative , và miễn là container được thiết kế để hoạt động trên nhiều nền tảng, thì nó sẽ có rất nhiều lực nâng và dịch chuyển. “Nó phải tuân thủ về mặt kiến ​​trúc, nhưng theo quan điểm của tôi, một thùng chứa là một thùng chứa.”

Confidential Computing của IBM sử dụng các máy chủ IBM Z và có thể có bộ nhớ được bảo vệ lên đến 16 terabyte, giúp nó có khả năng xử lý khối lượng công việc cực lớn.

Badlaney cho biết: “Chúng tôi thực sự đã trải qua sự tham gia của khách hàng, một nhà cung cấp dịch vụ bảo mật chăm sóc sức khỏe, cần mức độ bảo mật và Confidential Computing này. “Về bản chất, họ đã nâng và chuyển khối lượng công việc của mình từ đám mây Azure sang đám mây IBM.”

Bộ nhớ khôn ngoan, chip AMD Epyc 2 mà Google Cloud sử dụng để kích hoạt Confidential Computing có thể lên tới 896 gigabyte. Badlaney cho biết: “Và nếu bạn thực hiện phép toán, với Intel SGX [công nghệ bảo mật của Intel], bạn có thể có bộ nhớ được bảo vệ từ 64 đến 128 megabyte.

Marcel Mitran, kỹ sư xuất sắc và CTO của LinuxONE tại IBM, cho biết khi các doanh nghiệp chuyển từ Intel sang IBM Z, có một sự cải thiện hiệu suất đáng kể.

Ông nói: “Nói chung, đối với khối lượng công việc ứng dụng được viết bằng Java, chúng tôi thấy hiệu suất tăng gấp hai lần. “Đối với mật mã, chúng tôi nhận thấy mức độ cải thiện đáng kể. Hệ thống của chúng tôi có lõi tốc độ 5GHz, số lượng lớn bộ nhớ cache và đó là tất cả những điều tuyệt vời cho máy tính doanh nghiệp hiệu suất cao.”

Nhưng nền tảng Intel SGX rất phù hợp cho một số ứng dụng tập trung hẹp, như quản lý khóa. Và IBM cũng cung cấp các vùng bảo mật được hỗ trợ bởi Intel SGX cho những khách hàng muốn chúng – Microsoft Azure cũng vậy.

Vikas Bhatia, giám đốc chương trình nhóm chính tại Microsoft cho biết: “Microsoft đã cung cấp dịch vụ Confidential Computing cho khách hàng của Azure trong vài năm và dịch vụ Confidential Computing của Azure thường được cung cấp vào tháng 4”.

Ông hứa sẽ có nhiều cải tiến Confidential Computing hơn trong những tháng tới, bao gồm đổi mới phần cứng, phần mềm và dịch vụ.

Amazon đã và đang đi theo con đường riêng của mình trên Confidential Computing. AWS chưa hỗ trợ Intel SGX hoặc bảo mật thời gian chạy dựa trên AMD, thay vào đó tập trung vào cách tiếp cận riêng của nó, được gọi là Nitro Enclaves, cung cấp một lớp cách ly mật mã. Các vùng được xây dựng dựa trên phần cứng Nitro của AWS, bao gồm chip bảo mật Nitro và thẻ Nitro.

Không phải tất cả các Confidential Computing đều được tạo ra như nhau
Bên cạnh những hạn chế về bộ nhớ, có những khác biệt khác giữa các dịch vụ Confidential Computing của các nhà cung cấp chính.

Ví dụ, máy chủ IBM Z không nhất thiết phải phù hợp với trung tâm dữ liệu trung bình.

Thomas Hatch, CTO và đồng sáng lập tại SaltStack, một nhà cung cấp dịch vụ bảo mật mạng cho biết: “Sử dụng máy chủ Z không chỉ tốn kém chi phí mà còn cấm kiến ​​trúc. cách trung tâm dữ liệu được thiết kế và xây dựng. ”

Đó là lý do tại sao việc giới thiệu chipset Epyc của AMD là một chiến thắng mạnh mẽ đối với nhà sản xuất chip và sẽ giúp họ có thêm thị phần trong trung tâm dữ liệu, ông nói.

Cũng có một số khác biệt về cách bảo mật được triển khai trên các nền tảng.

Ambuj Kumar, người đồng sáng lập và Giám đốc điều hành tại Fortanix, cho biết tính năng bảo vệ toàn vẹn bộ nhớ do Intel SGX cung cấp khác với tính năng Ảo hóa bảo mật của AMD trên bộ xử lý Epyc.

Ông nói: “Giải pháp AMD SEV hỗ trợ truy cập bộ nhớ ngẫu nhiên nhanh hơn so với nền tảng Intel SGX hiện tại, nhưng điều này phải trả giá bằng các đặc tính bảo mật yếu hơn.

Và mặc dù ngày nay bộ nhớ là một hạn chế đối với Intel SGX, nhưng nó không tệ bằng việc Google làm cho nó tốt, theo Kumar. “Thế hệ bộ vi xử lý hỗ trợ Intel SGX hiện tại có phạm vi bộ nhớ dành riêng cho bộ xử lý lên đến 256MB. Đây chỉ là bộ nhớ đệm và kích thước bộ nhớ vùng hiệu dụng có thể lớn tới 64GB.”

Và điều đó sẽ trở nên tốt hơn, anh ấy nói thêm. “Những thay đổi sắp tới đối với kiến ​​trúc Intel sẽ tăng kích thước bộ nhớ đệm và tăng phạm vi nền tảng trung tâm dữ liệu có sẵn cung cấp hỗ trợ cho Intel SGX.”

Theo Data Center Knowledge

____
Bài viết liên quan

Góp ý / Liên hệ tác giả