Was wäre, wenn Sie öffentliche Cloud-Dienste nutzen und dennoch sicher sein könnten, dass Ihre Daten – im Ruhezustand sowie während der Übertragung und Verwendung – vollständig unter Ihrer Kontrolle stehen? Genau das ist das Ziel von SecuStack – die Vorteile von Cloud-Computing für staatliche Institutionen und stark regulierte Branchen zu nutzen. SecuStack wurde von der secunet Security Networks AG (Deutschlands führendem Cybersecurity-Unternehmen) und der Cloud&Heat Technologies GmbH (einem Anbieter energieeffizienter, skalierbarer und sicherer Rechenzentrumslösungen) entwickelt und liefert Cloud-Computing in verschiedene Branchen, die Cloud-Computing aufgrund strenger Sicherheitsbestimmungen oder mangelnden Vertrauens bisher nicht einführen konnten.
Herausforderung
Cloud-Computing bietet attraktive Vorteile in Bezug auf Kosten, betriebliche Effizienz und Skalierbarkeit. Einige Branchen sowie staatliche Einrichtungen haben Cloud-Computing aus Sicherheitsgründen jedoch nicht umfassend eingeführt. Ohne Transparenz im Software-Stack und vollständige Kontrolle über ihre Daten bleibt Cloud-Computing für diese Organisationen unerreichbar.
Lösung
Durch die Bereitstellung eines sicherheitsgehärteten Cloud-Betriebssystems (OS) ermöglicht SecuStack den lokalen oder vertrauenswürdig gehosteten Betrieb einer modernen Cloud-Lösung über Infrastructure-as-a-Service (IaaS). Im Gegensatz zu kommerzieller Software oder vielen Cloud-Service-Providern (CSPs) bietet er Transparenz für die Funktionalität des Software-Stacks. SecuStack enthält transparent integrierte, kryptografische Mechanismen zum Schutz der Datenübertragung und -speicherung sowie die Integration von Intel® SGX-Enklaven (Intel® Software Guard Extensions), mit denen Daten während der Verarbeitung in einer OpenStack-Umgebung geschützt werden.
Ergebnisse
Organisationen mit strengen Sicherheitsanforderungen können jetzt alle Vorteile des Cloud-Computings nutzen. Dazu gehören die Vermeidung von Infrastrukturkosten, reduzierte Wartungskosten, höhere Betriebseffizienz, Skalierbarkeit und der Zugriff auf die neuesten Innovationen der Intel® Technik für hohe Leistung.
Transparenz und Kontrolle in der Cloud
Die Cloud ist ein as-a-Service-Geschäft. In der Regel bieten CSPs ihren Kunden Services und APIs (Application Programming Interfaces) an, nicht jedoch Software und Quellcode. Verbraucher von Cloud-Diensten müssen daher dem CSP vertrauen, der die Server betreibt, den Software-Stack steuert und die Kundendaten schützt. Cloud-Computing kann eine Reihe von Vorteilen bieten, z. B. Effizienz- und Kostenreduzierung, Skalierbarkeit und Disaster Recovery-Funktionen.1 Die vollständige Transparenz und Kontrolle über die Sicherheit von Daten im Ruhezustand sowie während der Übertragung und Verwendung ist jedoch ein Anliegen vieler staatlicher Institutionen und Behörden sowie stark regulierter privater Branchen wie Versorgungsunternehmen und Gesundheitsdienstleister. Diese Bedenken haben sich in der Vergangenheit als Hindernis für die Einführung von Cloud-Diensten für diese Organisationen erwiesen. Ohne Transparenz und Kontrolle über ihre Daten können diese Organisationen externe Cloud-Dienste einfach nicht nutzen. Durch den verbesserten Datenschutz können Unternehmen, die Cloud-Ressourcen verwenden, auf vertrauliche Weise Berechnungen mit ihren Daten anstellen.
Digitale Souveränität in der Cloud
SecuStack nutzt Intel® Prozessoren mit Intel SGX, die die Ausführung kritischer Infrastrukturdienste wie Identitätsmanagement, Schlüsselverwaltung und VPN-Dienste (Virtual Private Network) in isolierten Anwendungs-Enklaven ermöglichen. Die Enklaven verfügen über hardwaregestützte Vertraulichkeits- und Integritätsschutzfunktionen, um den Zugriff von Prozessen mit höheren Berechtigungsstufen zu verhindern. Durch Bestätigungsdienste kann eine vertrauende Seite vor dem Start eine Überprüfung der Identität einer Anwendungs-Enklave erhalten. Mit diesen Funktionen werden Anwendungen auf mehr Sicherheit vorbereitet. Mithilfe der SCONE-Plattform von Scontain können Dienste problemlos in Intel SGX-Enklaven integriert und ausgeführt werden. Funktionen wie transparente Laufzeitverschlüsselung, Geheimnisverwaltung und Autorisierung können bequem integriert werden. Die Kombination von Intel SGX-Enklaven und einer Open-Source-basierten, gehärteten und kryptografisch gesicherten Infrastrukturebene bietet erweiterten Schutz, da sie die Sicherheit und Souveränität von Anwendungen und Daten sowie die Integrität der Infrastrukturebene erhöht. Neben dem Schutz der Infrastruktur unterstützt SecuStack auch vertrauliche Cloud-native Anwendungen. Anwendungsdienste können beispielsweise in Intel SGX-Enklaven ausgeführt werden, die in einem Kubernetes-Cluster ausgeführt werden (siehe Abbildung 1). SecuStack verwendet außerdem den Intel® Advanced Encryption Standard – New Instructions (Intel® AES-NI), um die Verschlüsselungsprozesse von SecuStack zu beschleunigen.
Abbildung 1: Durch die Nutzung der Intel® Software Guard Extensions (Intel® SGX) ermöglicht das SecuStack-Betriebssystem vertrauliches Computing in der Cloud.
Zusammenarbeit verbessert die Cloud-Sicherheit
Wie Intel ist auch secunet der Ansicht, dass echte Sicherheit nicht allein durch Software oder Hardware erreicht werden kann. Echte Sicherheit ergibt sich aus der Kombination von Software- und Hardwarefunktionen. Seit Jahrzehnten verbessert Intel die Hardware-Sicherheitsfunktionen wie den sicheren Start und die Virtualisierung auf dem Prozessor. Intel SGX fügt wichtige Sicherheitsfunktionen hinzu, darunter Enklaven, Bestätigung, Speicherverschlüsselung und Schutz der Daten während der Verwendung. SecuStack nutzt all diese Innovationen von Intel und kombiniert sie mit einer sicherheitsgehärteten Version von OpenStack. Die beiden Unternehmen arbeiteten mit Scontain zusammen, das seiner SCONE-Plattform mehrere Tools hinzugefügt hat, die Intel SGX verwenden. Die Zusammenarbeit zwischen allen drei Unternehmen hat zu einem überprüfbaren, funktionsfähigen Cloud-Betriebssystem geführt, mit dem Cloud-Computing endlich für Anwendungsfälle wie Gesundheitswesen, Bankwesen, Multiparty-Computing, vertrauliches Computing und den öffentlichen Sektor eingesetzt werden kann.
Während der Entwicklung von SecuStack stellte Intel SecuStack-Entwicklern Schulungsressourcen zur Verfügung, damit sie verstehen konnten, welche neue Intel Technik in Sicht ist. Die Ingenieure von Intel gaben Einblicke in die Verwendung der Enklaventechnologie für Anwendungsfälle des maschinellen Lernens und der künstlichen Intelligenz (KI) und beantworteten Fragen zu Intel SGX. Intel bot auch frühzeitigen Zugriff auf Hardware-Produktangebote und Fernzugriff auf Intel Labs und Technik. Intel und secunet freuen sich auf die kontinuierliche Zusammenarbeit und Investition in neue Technologien, um die Cloud-Computing-Sicherheit weiter zu verbessern.
„Viele Plattformanbieter können Cloud-Technologien oder Funktionen für künstliche Intelligenz (KI) anbieten. Intel ist das einzige Unternehmen, das Cloud- und KI-Technologien auf ganzheitliche und sichere Weise bereitstellen kann.“ – Kai Martius, Chief Technical Officer, secunet Security Networks AG
SecuStack-Anwendungsfall: Vertrauliches Multiparty-Computing
SecuStack verwendet die SCONE-Plattform und Intel® SGX für neuartige Anwendungen in der Cloud. Diese Anwendungen umfassen maschinelles Lernen und Multi-Party-Computing. Einige in den Bereichen Gesundheit und Biowissenschaften tätige Kunden von SecuStack verwenden SecuStack, um Modelle für maschinelles Lernen zur Übertragung und Verarbeitung von Patientendaten für vertrauliche gemeinsame Anwendungen zum maschinellen Lernen zu schützen. Es spielt keine Rolle, ob der Cloud-Service-Provider (CSP) "vertrauenswürdig" ist oder nicht – die Trainingsdaten, der Code und die Modelle bleiben vor dem Zugriff durch den CSP geschützt. SecuStack ermöglicht die Ausdehnung der Forschungsarbeiten, die zu aufregenden Durchbrüchen bei der Diagnose und Behandlung von Krankheiten führen könnten.
SecuStack-Anwendungsfall: Anonymisierung und Pseudonymisierung von Videodaten in der Cloud
Einer der Kunden von SecuStack nutzt das sicherheitsgehärtete Betriebssystem für Federated Learning von Modellen der künstlichen Intelligenz (KI), indem Daten aus verschiedenen Quellen kombiniert werden und gleichzeitig die allgemeine Datenschutzverordnung (DSGVO) eingehalten wird. Dieser Kunde schätzt insbesondere die Bereitstellung eines vollständigen Lebenszyklusmanagements für die angepasste sichere Cloud-Infrastruktur durch SecuStack. Das Infrastrukturmanagement kann über Dienste des SecuStack-Partners Cloud&Heat auf verwaltete Kubernetes-Cluster ausgedehnt werden, um die Entwicklung des maschinellen Lernens zu unterstützen. Weitere SecuStack-Funktionen, die diesem Kunden geschäftliche Vorteile bieten, sind sicherheitsfähige VPN-Verbindungen (Virtual Private Network), die einen besseren sicheren Zugriff auf Daten ermöglichen, sowie die Möglichkeit, Videodaten sicher zu speichern und zu analysieren, ohne die Datenschutzstandards der Europäischen Union zu verletzen.
„Wir haben eine hervorragende Beziehung zu Intel und erhalten Informationen über kommende Technologien und technischen Support von Intel. Es ist wichtig, die Technologie und ihre Grenzen zu verstehen, zu wissen, wie man sie einsetzt, und eine solide Lösung zu entwickeln.“ – Kai Martius, Chief Technical Officer, secunet Security Networks AG
Im Blickpunkt: secunet Security Networks AG
Die secunet Security Networks AG ist Deutschlands führendes Unternehmen für Cybersicherheit. secunet beschäftigt mehr als 700 Experten, die die digitale Souveränität von Regierungen, Unternehmen und der Gesellschaft stärken. Das Unternehmen bietet eine Kombination aus Produkten und Beratungsdiensten, robusten digitalen Infrastrukturen und einem Höchstmaß an Sicherheit für Daten, Anwendungen und digitale Identitäten. secunet ist auf Bereiche mit einzigartigen Sicherheitsanforderungen spezialisiert, wie die Cloud, das industrielle Internet der Dinge (IIoT), maschinelles Lernen und E-Health. Zu den Kunden von secunet zählen Bundesministerien, nationale und internationale Organisationen sowie mehr als 20 im DAX gelistete Unternehmen.
Lösungskomponenten
- SecuStack Cloud-Betriebssystem
- Scontain SCONE-Plattform
- Intel® Software Guard Extensions (Intel® SGX)
- Intel® Advanced Encryption Standard – New Instructions (Intel® AES-NI)
- Verwaltete Kubernetes-Cluster von Cloud&Heat