La computación confidencial, en combinación con el cifrado de la red y el almacenamiento, proporciona seguridad de datos de extremo a extremo en la nube y protege los datos durante el procesamiento.
Ya sea utilizando una nube o centros de datos internos, la seguridad informática sigue siendo una de las mayores preocupaciones que rodean a las empresas hoy en día. Por eso, las empresas necesitan mecanismos de seguridad especiales para proteger los datos sensibles de la propiedad intelectual y la carga de trabajo, independientemente de dónde residan los datos. En el pasado, sin embargo, la atención se centraba en la protección de los datos en tránsito y en reposo.
La informática confidencial (CC) pretende ahora eliminar el riesgo de que todos los datos puedan ser fácilmente intervenidos desde la memoria del dispositivo o la nube. Esto aumenta el nivel de seguridad en las empresas, especialmente en las que ofrecen aplicaciones a través de la nube. Sin embargo, actualmente (a principios de marzo de 2021) no existe una seguridad del cien por cien.
Definición de los estándares de la Informática Confidencial
Para definir los estándares de la CC e impulsar el desarrollo de marcos y herramientas de la CC de código abierto, se fundó en 2019 el Consorcio de Informática Confidencial bajo los auspicios de la Fundación Linux. Entre los miembros del consorcio se encuentran, por ejemplo, Facebook, Google, Fortanix, IBM, Huawei, Oracle, Tencent, Alibaba, Arm, AMD y Microsoft. Algunos miembros ya proporcionan las herramientas correspondientes.
El consorcio se basa en el uso de áreas especiales blindadas entre sí y con el resto del sistema, en las que sólo debe ejecutarse código firmado, los llamados Entornos de Ejecución de Confianza (TEE). El entorno de ejecución de confianza basado en hardware representa un enclave seguro dentro de una CPU. Está protegido por mecanismos de confirmación y claves de cifrado integrados que garantizan que sólo el código de aplicación autorizado pueda acceder a las claves.
TEE deniega el acceso a las claves y aborta inmediatamente el cálculo en cuanto el código autorizado se modifica o se piratea de alguna manera o un código no autorizado, por ejemplo un malware, quiere acceder a las claves. Durante todo el proceso de cálculo, así como en el estado descifrado, los datos son invisibles para el hipervisor de una máquina virtual o para el sistema operativo, para el proveedor de la nube y su personal, y para otros recursos de la pila.
Los TEE no son nuevos, sin embargo
Los TEE han estado disponibles para los chips x86 (Intel SGX) y Arm (Trust Zone) durante algún tiempo. El concepto se originó hace más de 10 años con los módulos de plataforma de confianza (TPM). Sin embargo, las ETE modernas están integradas en los chips y no son complementos externos. Sin embargo, hasta ahora no se disponía de ETE para todos los procesadores. Además, son relativamente difíciles de implementar.
Evaluar la Computación Confidencial para Empresas
Aunque las TEEs no son nuevas, la Computación Confidencial en la nube hace mucho más atractivo para las empresas proteger sus datos de ciertas vulnerabilidades de las apps. Por lo tanto, las empresas deberían evaluar más detenidamente sus opciones de implantación de la informática confidencial.