Datensicherheit in der Cloud So sperrt Confidential Computing Daten unabhängig von ihrem Zustand

Ein Gastbeitrag von Ijlal Loutfi

Unabhängig davon, ob sich die Daten in Bewegung, im Ruhezustand oder in Verwendung befinden, erhöht vertrauliches Computing die Sicherheit beim Verlagern von Workloads in die Public Cloud und kann die Datensicherheit in anderen Implementierungen verbessern.

Vor dieser Frage steht jedes Unternehmen: Wie sicher ist es, sensible Daten in die Cloud zu verlagern, angesichts der damit verbundenen Sicherheits- und Datenschutzrisiken?
Vor dieser Frage steht jedes Unternehmen: Wie sicher ist es, sensible Daten in die Cloud zu verlagern, angesichts der damit verbundenen Sicherheits- und Datenschutzrisiken?
(Bild: Ar_TH - stock.adobe.com)

Obwohl die Nutzung der Cloud weltweit rasch zunimmt, bereiten Sicherheit und Datenschutz nach wie vor die größten Sorgen. So ergab eine Umfrage der Cloud Security Alliance im vergangenen Jahr, dass Sicherheit und Datenschutz für 58 Prozent der 1.900 Fachleute, die an Cloud-Implementierungen beteiligt sind, die größte Sorge darstellen.

Deshalb schwelen in vielen Unternehmen weiterhin Spannungen zwischen den Entwicklungsabteilungen, die die skalierbare, flexible Public Cloud als idealen Innovationsmotor betrachten, und den Sicherheitsverantwortlichen, die aufgrund ihrer Risikotoleranz den Ruf notorischer Neinsager haben.

Doch was wäre, wenn Unternehmen mehr Vertrauen darin hätten, dass ihre Daten vor Hackern und anderen neugierigen Blicken geschützt sind? Was wäre, wenn die Vorbehalte gegen die Verlagerung sensibler Daten in die Cloud abgebaut werden könnten?

Genau das verspricht die noch recht junge Entwicklung im Bereich der Datensicherheit: Confidential Computing.

Confidential Computing verschafft Unternehmen nicht nur die Gewissheit, dass es sicher ist, mehr Workloads in die Public Cloud zu verlagern, sondern kann auch die Datensicherheit bei jeder Art von Implementierung verbessern. Mithin führt das zu einigen geschäftlichen Vorteilen.

Eine Erklärung, was Confidential Computing ist, muss mit einer Beschreibung der drei Phasen des Lebenszyklus von Daten beginnen.

Daten in Bewegung (Data in Motion)

Wenn Benutzer Daten senden, werden diese bei der Übertragung im Netz verschlüsselt. Dies gilt sowohl für Unternehmen, die Daten in die Cloud senden, als auch für Verbraucher, die ihre Kreditkartendaten an einen Online-Händler weitergeben. Standardisierte Verschlüsselungstechnologien wie TLS schützen die Daten während ihrer Übertragung.

Daten im Ruhezustand (Data at Rest)

Dies ist die Bezeichnung für passive Daten, die nicht verarbeitet werden und die sich im Speicher befinden – Datensätze in Datenbanken, Dateien auf Festplatten und ähnliches. Unternehmen verwenden Festplattenverschlüsselung und andere Sicherheitstechnologien, um Daten im Ruhezustand zu schützen.

Daten in Verwendung (Data in Use)

In diesem Fall werden die Daten in irgendeiner Weise verarbeitet. Dazu müssen die Daten zunächst von der Festplatte in den Systemspeicher – auch RAM genannt – verschoben werden. Dort werden sie entschlüsselt. In diesem Zustand sind die Daten angreifbar durch eine potenzielle Schwachstelle in den Millionen Codezeilen des Betriebssystems, des Hypervisors, der Firmware oder eines Cloud-Administrators des Cloud-Anbieters. Dies ist eine große Angriffsfläche, und genau darüber machen sich Verbraucher Sorgen, die ihre vertraulichen Daten von einem lokalen Speichermedium in eine Public Cloud verlagern.

Confidential Computing zieht eine zusätzliche Sicherheitsebene ein, die den Verschlüsselungsschutz auf Daten während der Laufzeit ausdehnt. Dies geschieht dadurch, dass Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden, die den unbefugten Zugriff oder die Änderung von Anwendungen und Daten während der Nutzung verhindern.

Dies verringert eine Reihe potenzieller Sicherheitsrisiken beim Verlagern von Daten in die Cloud. Es schließt z. B. eine Hypervisor-Schwachstelle, die es anderen virtuellen Maschinen ermöglicht, private Daten auszuspähen. Einem böswilligen Mitarbeiter eines Cloud-Anbieters wird es verunmöglicht, über den Zugriff auf den physischen Rechner eines Unternehmens, einen Arbeitsablauf durch eine Hintertür zu manipulieren.

Die Branche spricht aus mehreren Gründen viel über vertrauliche Datenverarbeitung. Der erste liegt auf der Hand: Die steigende Zahl von Cyberangriffen führt zu einem erhöhten Bedarf an Datensicherheit.

Zweitens haben Technologien, die Confidential Computing ermöglichen, wie z. B. Sicherheitsfunktionen in Betriebssystemen und auf CPUs, Marktbedeutung in der Industrie erlangt, z. B. über AMD-SEV und Intel SGX.

Drittens haben die großen Public-Cloud-Anbieter, insbesondere Google Cloud Platform und Microsoft Azure, ihre Kapazitäten für Confidential Computing aufgestockt.

Eine Anmerkung zu diesem dritten Punkt: ein Großteil der Diskussion über Confidential Computing konzentriert sich bisher darauf, dass sensible Daten bei der Verlagerung in die Public Cloud gesichert werden. Die Vorteile sind aber ebenso überzeugend und relevant für den Schutz von Daten, die in vielen weiteren Umgebungen verwendet werden, nämlich in Edge- und On-Premises-Implementierungen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Unterstützung für den Ansatz wird zunehmend breiter. So kündigte AMD im Mai neue virtuelle Maschinen für Confidential Computing für die Google Cloud an.

Eine Community der Linux Foundation kümmert sich projektbezogen um Confidential Computing, knapp 40 Mitgliedsorganisationen beteiligen sich aktuell daran, und weitere Open-Source-Projekte steuern Beiträge bei.

Confidential Computing bietet in der Praxis zahlreiche Vorteile. Ein Beispiel ist die Finanzdienstleistungsbranche. Geschäftsprozesse wie Geldwäschebekämpfung und Betrugserkennung verlangen von Finanzinstituten, dass sie Daten mit externen Partnern austauschen.

Mit Confidential Computing können sie Daten aus verschiedenen Quellen verarbeiten, ohne die persönlichen Daten ihrer Kunden preiszugeben. Sie können die kombinierten Datensätze analysieren, um z. B. die Geldbewegungen eines Kunden zwischen mehreren Banken aufzudecken, ohne dass Sicherheits- und Datenschutzprobleme auftreten.

Confidential Computing erschließt Datenverarbeitungsszenarien, die zuvor nicht möglich waren, und dürfte daher in den kommenden Jahren einen wichtigen Fortschritt in Sachen Sicherheit und Datenschutz darstellen.

Über die Autorin: Ijlal Loutfi ist Produktmanagerin für Confidential Computing bei Canonical. Zuvor hat sie einen Doktortitell in Informationssicherheit erworben und anschließend als Forscherin in den Bereichen vertrauenswürdige Ausführungsumgebungen sowie Identitätsmanagement und Zugriffskontrolle gearbeitet. Ijlal Loutfi hat ihre Karriere als Beraterin für Infrastrukturunternehmen begonnen.

(ID:48833788)