La computación confidencial protege sus datos en uso a través de entornos de ejecución confiables basados en hardware, también llamados enclaves, pero ¿cómo puede adoptar fácilmente estos enclaves seguros para proteger verdaderamente sus aplicaciones de extremo a extremo? ¿Cómo se alinea esto con su estrategia de contenedores o de comunidad? ¿Necesita nuevas habilidades o flujos de trabajo de DevOps adicionales para adoptarlos? Hoy vamos a hablar de la computación confidencial y específicamente de lo fácil que es adoptar el entorno de ejecución confiable de Intel y proteger sus cargas de trabajo en la nube utilizando IBM Cloud Data Shield.
Índice
Protección de datos de extremo a extremo con enclaves seguros
A grandes rasgos, la computación confidencial protege datos a través de la criptografía y el aislamiento de la memoria, lo cual complementa la encriptación de datos en tránsito mediante TLS y la encriptación en reposo mediante encriptación de sobre. Esta aislamiento criptográfico de la memoria ocurre ya sea a nivel de una máquina virtual (VM) o a nivel de proceso. Podemos pensar en ello como el aislamiento criptográfico a nivel de VM o el aislamiento criptográfico a nivel de proceso. Hoy nos enfocaremos en soluciones criptográficas a nivel de proceso o enclaves seguros.
Intel Software Guard Extensions y IBM Cloud Data Shield
Veamos las Intel Software Guard Extensions (SGX) y cómo Data Shield de IBM puede ayudarlo a adoptarlas sin necesidad de realizar cambios en su código. Intel Software Guard Extensions es un conjunto de instrucciones relacionadas con la seguridad que se incorporan en algunos de los procesadores Intel modernos. Permiten que el código a nivel de usuario y a nivel de sistema operativo defina regiones privadas de memoria, conocidas como enclaves, cuyo contenido está protegido y no puede ser leído ni guardado por ningún proceso fuera del propio enclave, incluso procesos que se ejecutan con niveles de privilegio más altos.
El proceso de adopción de Intel SGX con Data Shield
Entonces, ¿por dónde empezamos? Primero, debe configurar un clúster de Kubernetes. Puede aprovisionar un clúster de IBM Kubernetes Service o Red Hat OpenShift en IBM Cloud con nodos de trabajo compatibles con SGX. Luego, instale el gráfico Helm de Data Shield en su clúster. Esto instala su propia instancia dedicada de Data Shield en su clúster, que incluye una interfaz de usuario (UI) y una API. La API se alinea perfectamente con su estrategia de nativa de la nube e integra con sus canalizaciones de DevOps para convertir las imágenes de contenedor en contrapartidas de enclaves seguros compatibles con Intel SGX utilizando la mejor tecnología de encriptación en tiempo de ejecución de la industria.
Data Shield extrae su imagen de contenedor desde su registro, la convierte y la devuelve a su registro sin que tenga que realizar ningún cambio en su código. Ahora puede actualizar el archivo YAML de implementación de Kubernetes y desplegar su nueva aplicación de memoria encriptada en tiempo de ejecución en su clúster. Y sí, Data Shield también simplifica la complejidad de la atestación y le presenta el informe de atestación a través de una infraestructura de clave pública que se ejecuta nativamente en su clúster, lo cual le brinda una capa adicional de garantía técnica que necesita. La interfaz de usuario lo ayuda con la gestión del acceso de usuario, le muestra los informes de atestación y le otorga privilegios para permitir o denegar ciertos enclaves. También cuenta con una herramienta intuitiva para convertir su aplicación para una demostración rápida o una prueba de concepto.
Resumen y conclusiones
En resumen, Data Shield es un software de un único inquilino que se ejecuta en su clúster de Kubernetes y le ayuda a adoptar los enclaves seguros de Intel SGX con garantías técnicas a través de informes de atestación y sin necesidad de realizar cambios en su código.
| Beneficios clave de la computación confidencial con Data Shield: |
|---|
| – Protección de datos en uso a través de enclaves seguros |
| – Fácil integración con su estrategia de contenedor o de comunidad |
| – Sin necesidad de nuevas habilidades o flujos de trabajo de DevOps |
| – Atestación y garantía técnica |
| – Sin cambios en el código existente |
Preguntas frecuentes
A continuación, respondemos algunas preguntas frecuentes sobre la computación confidencial y Data Shield:
¿Qué es la computación confidencial?
La computación confidencial es una metodología de seguridad que protege los datos en uso mediante el uso de entornos de ejecución confiables conocidos como enclaves.
¿Cómo puedo adoptar la computación confidencial?
Puede adoptar la computación confidencial utilizando herramientas como IBM Cloud Data Shield, que le permite implementar enclaves seguros en sus cargas de trabajo en la nube sin necesidad de realizar cambios en su código.
¿Qué es Intel Software Guard Extensions (SGX)?
Intel SGX es un conjunto de instrucciones de seguridad incorporadas en los procesadores Intel modernos que permiten la creación de enclaves seguros para proteger datos confidenciales en la memoria.
¿Necesito habilidades o flujos de trabajo de DevOps adicionales para adoptar Data Shield?
No, Data Shield se integra con su estrategia de nativa de la nube y sus canalizaciones de DevOps existentes, lo que significa que no se requieren habilidades o flujos de trabajo adicionales.
Artículos relacionados
Si está interesado en aprender más sobre la computación confidencial y la protección de datos en uso, le invitamos a consultar los siguientes artículos relacionados:
- La computación en la nube y la seguridad de datos confidenciales
- Cómo proteger sus aplicaciones en la nube con SGX
- Los beneficios de adoptar enclaves seguros en su estrategia de contenedor
Esperamos que este artículo le haya brindado una visión general de la computación confidencial y cómo puede proteger sus aplicaciones en la nube utilizando enclaves seguros. Si tiene alguna pregunta adicional, no dude en dejar un comentario y con gusto le responderemos.
¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!