Definition Was ist Confidential Computing?

Autor / Redakteur: Pandora Bells / Sarah Böttcher

Confidential Computing bietet in Kombination mit Netzwerk- und Speicherverschlüsselung eine Ende-zu-Ende-Datensicherheit in der Cloud und schützt Daten während der Verarbeitung.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Unabhängig davon, ob eine Cloud oder die eigenen Rechenzentren zum Einsatz kommen, die IT-Sicherheit bleibt eines der größten Sorgenkinder im Umfeld von Unternehmen in der heutigen Zeit. Deshalb benötigen Unternehmen besondere Sicherheitsmechanismen, die dem Schutz sensibler IP- und Workload-Daten dienen, ganz gleich, wo sich die Daten aktuell befinden. In der Vergangenheit lag jedoch der Fokus auf dem Schutz von Daten während der Übertragung und im Ruhezustand.

Confidential Computing (CC) hat nun zum Ziel, das Risiko abzustellen, dass sämtliche Daten einfach aus dem Arbeitsspeicher von Geräten oder aus der Cloud abgegriffen werden können. Das steigert das Security-Niveau in Unternehmen, besonders von Firmen, die Apps über die Cloud ausliefern. Eine einhundertprozentige Sicherheit gibt es aktuell (Stand Anfang März 2021) jedoch noch nicht.

Definition von Confidential-Computing-Standards

Um CC-Standards zu definieren und die Entwicklung von quelloffenen CC-Frameworks und Tools voranzutreiben, wurde 2019 unter der Schirmherrschaft der Linux Foundation das Confidential Computing Consortium gegründet. Zu den Mitgliedern des Consortiums gehören zum Beispiel Facebook, Google, Fortanix, IBM, Huawei, Oracle, Tencent, Alibaba, Arm, AMD und Microsoft. Einige Mitglieder stellen bereits entsprechende Tools zur Verfügung.

Dabei setzt das Consortium auf die Verwendung von speziellen, voneinander und vom restlichen System abgeschirmte Bereiche, in denen nur signierter Code laufen soll, sogenannte Trusted Execution Environments (TEEs). Die hardwarebasierte vertrauenswürdige Ausführungsumgebung stellt eine sichere Enklave innerhalb einer CPU dar. Sie wird durch eingebettete Bestätigungsmechanismen und Verschlüsselungsschlüssel abgesichert, die sicherstellen, dass nur ein autorisierter Anwendungscode auf die Schlüssel zugreifen kann.

TEE verweigert den Zugriff auf die Schlüssel und bricht sofort die Berechnung ab, sobald der autorisierte Code in irgendeiner Weise verändert oder gehackt wird oder ein nicht autorisierter Code, zum Beispiel Malware, auf die Schlüssel zugreifen möchte. Während des gesamten Berechnungsprozesses sowie im entschlüsselten Zustand sind die Daten für den Hypervisor in einer virtuellen Maschine oder für das Betriebssystem, für den Cloud-Anbieter und seine Mitarbeiter sowie für andere Stack-Ressourcen unsichtbar.

TEEs sind allerdings nicht neu

TEEs stehen seit Längerem für x86-Chips (Intel SGX) und Arm (Trust Zone) zur Verfügung. Das Konzept hat seinen Ursprung bereits vor mehr als 10 Jahren mit den Trusted Platform Modulen (TPM-Modulen). Moderne TEEs werden allerdings in den Chips realisiert und sind keine externen Add-ons. Jedoch standen TEEs bisher nicht für alle Prozessoren zur Verfügung. Zudem lassen sie sich relativ schwer implementieren.

Confidential Computing für Unternehmen evaluieren

Auch wenn TEEs nicht neu sind, Confidential Computing in der Cloud macht es für Unternehmen deutlich attraktiver, ihre Daten vor bestimmten App-Schwachstellen zu schützen. Unternehmen sollten daher ihre Einsatzmöglichkeiten für Confidential Computing genauer evaluieren.

(ID:47259426)