Powering Confidential Computing mit Intel® SGX

Wichtigste Take-aways:

  • Aufgrund der ständigen Anforderungen, die heute an die Datensicherheit gestellt werden, wird Confidential Computing zu einem wichtigen Bestandteil der Defense-in-Depth-Cybersicherheitsstrategie führender Unternehmen.

  • Confidential Computing powered by Intel® Software Guard Extensions (Intel SGX), stellt eine vertrauenswürdige Ausführungsumgebung zur Verfügung, um Ihre Daten zu schützen.

  • Zahlreiche Branchen können von Confidential Computing profitieren, vor allem solche mit strengen Vorschriften und Compliance-Anforderungen.

  • Intel SGX wird fortlaufend gehärtet und ist bei allen großen CSPs im Einsatz, darunter IBM, Alibaba, Baidu und Microsoft.

author-image

Von

Der Schutz von Unternehmensdaten ist heute mehr denn je geschäftskritisch. Da sich immer mehr Geschäfte und Einkäufe ins Internet verlagern, ist ein deutlicher Anstieg der Internetkriminalität zu beobachten. In der ersten Hälfte des Jahres 2020 wurden allein 36 Milliarden sensible Datensätze offengelegt.1 Nach wie vor haben es Kriminelle sowohl auf Einzelpersonen als auch auf Unternehmen abgesehen und versuchen, an Kreditkartendaten, Gesundheitsdaten und andere persönliche Informationen zu gelangen. Wir sind der Meinung, dass eine Möglichkeit, diesem Trend entgegenzuwirken, in der Implementierung einer Strategie „Defense in Depth“ besteht, die im Silizium verwurzelt ist. Confidential Computing powered by Intel® Software Guard Extensions (Intel SGX), stellt eine zusätzliche Schicht bereit, die als vertrauenswürdige Ausführungsumgebung bezeichnet wird, um Ihr wertvollstes Gut zu schützen - Ihre Daten.

IT-Administratoren wissen, dass Daten aufgrund von Datenschutz- und Sicherheitsbedenken oft in Silos gespeichert werden und dass es für Unternehmen keine einfache Möglichkeit gibt, diese Daten zu kombinieren und daraus geschäftliche Erkenntnisse zu ziehen. Intel SGX bietet verschlüsselte Enklaven, die nicht nur innerhalb einzelner Organisationen, sondern auch bei der Zusammenarbeit mit externen Gruppen als sichere Alternative zu Datensilos dienen und verhindern sollen, dass Daten für Unbefugte zugänglich werden.

Intel kooperiert mit Branchenführern bei der Implementierung von Confidential Computing in einer Vielzahl von Branchen, darunter Finanzdienstleistungen, Gesundheitswesen und der öffentliche Sektor. Wir verarbeiten Daten wie Bankinformationen, Gesundheitsdaten, Kreditkartendaten, Passwörter und Schlüssel über eine ständig wachsende Anzahl von Geräten und Endpunkten.

Was ist Confidential Computing?

Die Datensicherheit konzentrierte sich bis vor kurzem auf den Schutz von Daten im Ruhezustand (bei der Speicherung) und bei der Übertragung (bei der Bewegung zwischen verschiedenen Standorten). Confidential Computing, powered by Intel SGX, setzt noch einen drauf und sorgt dafür, dass Daten auch dann geschützt sind, wenn sie aktiv im Speicher verarbeitet werden. Möglich wird dies durch die Schaffung eines hardwarebasierten Trusted Execution Environment (TEE). Im TEE können nicht nur alle kritischen Daten gespeichert werden, sondern auch die Anwendungen und Algorithmen, die auf diese Daten zugreifen und sie verarbeiten.

Eine Trusted Compute Base (TCB) umfasst den Satz an Hardware, Software und Firmware, dem vertraut werden muss, um die Vertraulichkeit und Integrität kritischer Daten zu gewährleisten. Intel SGX reduziert diese Vertrauensgrenze auf den Inhalt der Enklave und den Prozessor selbst und schafft so die kleinste Angriffsfläche innerhalb des Systems, um Daten besser zu schützen. Dies ist besonders wichtig in der heutigen Cloud-zentrierten Welt. Der Cloud-Software-Stack und die Cloud-Admins sind ebenfalls vom Zugang zum TEE ausgeschlossen. Damit können viele Workloads, die bisher aufgrund von Sicherheits- oder regulatorischen Compliance-Bedenken als zu sensibel eingestuft wurden, um in die Cloud hochgeladen zu werden, nun die Kosten- und Verfügbarkeitsvorteile von Cloud-Diensten nutzen.

Neueste Beispiele für Confidential Computing

Neben den Implementierungen in der Cloud ermöglicht Confidential Computing neue Anwendungsfälle, die vorher einfach nicht möglich oder sinnvoll waren. Zum Beispiel haben in vielen Sektoren, in denen strenge Datensicherheit oberstes Gebot ist, Vertraulichkeitserwägungen Entwickler davon abgehalten, Lösungen mit Enterprise-Blockchain-Technologien zu implementieren, da diese Integritätsschutzmaßnahmen erfordern, die typischerweise die Privatsphäre der Nutzdaten verletzen. Mit Confidential Computing können sie dies nun aber tun. Darüber hinaus können Entwickler von bestehenden Apps profitieren. Sie können innerhalb des TEEs sichere Container erstellen und bestehende Anwendungen in diesen Container hochladen, ohne sie neu zu entwickeln, wo sie von einem ähnlichen Sicherheitsniveau profitieren können wie andere Anwendungen, die Enclaves nutzen. Jetzt müssen Kunden nicht mehr zwischen Sicherheit und Workload-Effizienz wählen.

Eine andere wichtige Anwendung von Confidential Computing ist das föderierte Lernen: Die Möglichkeit für getrennte Organisationen, Daten oder Verarbeitungen gemeinsam zu nutzen, während sie gleichzeitig wissen, dass die Einsicht in ihre Daten ihre und nur ihre bleiben wird. Föderiertes Lernen ermöglicht es Unternehmen, zusammenzuarbeiten - auch wenn sie Konkurrenten sind. So könnten etwa zwei Pharmaunternehmen, die an der Entwicklung von Impfstoffen arbeiten, mit Hilfe von Confidential-Computing-Techniken ihre beiden getrennten Forschungsdatensätze zu einem Gesamtdatensatz innerhalb einer sicheren Enklave zusammenführen. Sobald sich diese Daten in der Enklave befinden, können selbst die Eigentümer der Datensätze den Inhalt nicht mehr einsehen. Dennoch können KI-Anwendungen und Algorithmen auf diesen neuen, kombinierten Datensatz zugreifen, die enthaltenen Daten für das KI-Training nutzen, Inferenzoperationen durchführen und neue Schlussfolgerungen generieren, die zuvor unmöglich gewesen wären. Durch diese Art des föderierten Lernens können getrennte Institutionen zusammenarbeiten und von Modellen mit verbesserten Ergebnissen profitieren - während sie gleichzeitig sicher sein können, dass ihre Daten privat sind.

Zahlreiche Branchen können von Confidential Computing profitieren, vor allem solche mit strengen Vorschriften und Compliance-Anforderungen.

Gesundheitswesen: Durch Confidential Computing können medizinische Einrichtungen zusammenarbeiten, um die Patientenversorgung zu verbessern. Sie können beispielsweise Behandlungsmodelle erheblich verbessern, wie im Fall von Radiologen, die MRT-Scans des Gehirns annotieren, um Tumore zu erkennen und zu lokalisieren. Scans liefern die notwendigen Daten, um Deep-Learning-Modelle zu trainieren, die diese Aufgabe unterstützen. Föderiertes Lernen bietet nun die Möglichkeit, das Fachwissen von Radiologen auf der ganzen Welt in einem einzigen KI-Modell zu erfassen, sodass Klinikärzte eine unschätzbare Unterstützung erhalten und Patienten schneller diagnostiziert und behandelt werden können.

Finanz: Banken, Maklerunternehmen und auch andere Finanzorganisationen können ebenfalls von Confidential Computing profitieren. So können diese Institutionen zum Beispiel bei der Bekämpfung von Geldwäsche zusammenarbeiten, indem sie sich zu einem Governance-Netzwerk zusammenschließen, in dem sie Transaktionsdaten austauschen. Sie können Daten auf einen zentralen Knotenpunkt hochladen, an dem KI-Algorithmen risikobasierte Einschätzungen liefern, die es Unternehmen ermöglichen, Personen mit hohem Risiko genauer zu erkennen - ohne Daten aus der Transaktionshistorie zu teilen.

Regierung: Organisationen des öffentlichen Sektors, bei denen oft strenge Vertraulichkeitsanforderungen gelten, könnten mit Confidential Computing Probleme lösen, die vorher extrem schwierig (oder unmöglich) waren. Verschiedene Regierungsbehörden, die auf verwandten Gebieten arbeiten, können besser zusammenarbeiten, um dem öffentlichen Wohl zu dienen. So könnten beispielsweise das U.S. Center for Disease Control und die U.S. Food and Drug Administration vertrauliche Datensätze, die mit der Entwicklung von Impfstoffen zu tun haben, miteinander kombinieren und Ergebnisse erzielen, zu denen keine der beiden Behörden allein hätte kommen können - und das bei geringerem Risiko der Preisgabe sensibler Daten.

Zusammenfassung

Aufgrund der ständigen Anforderungen, die heute an die Datensicherheit gestellt werden, wird Confidential Computing mit Sicherheit ein immer wichtigerer Bestandteil der Defense-in-Depth-Cybersicherheitsstrategie führender Unternehmen sein. Wenn Unternehmen sich einmal von der Sicherheit und den Vorteilen von Confidential Computing überzeugt haben, werden sie immer mehr Anwendungen dafür finden. Nach Hunderten von Forschungsstudien wird Intel SGX im Laufe der Zeit kontinuierlich weiterentwickelt und bei allen großen CSPs, darunter IBM, Alibaba, Baidu und Microsoft, eingesetzt. Es ist einfach zu erkennen, dass die robusteste Lösung für vertrauliches Computing auf dem Markt, die von Hunderten der sicherheitsbewusstesten Unternehmen eingesetzt wird, eine kluge Wahl ist.