Überblick

Derzeit ist es üblich, Daten bei der Speicherung oder Übertragung zu verschlüsseln, aber die Verschlüsselung von Daten während der Nutzung, insbesondere im Speicher, wird oft vernachlässigt. Darüber hinaus fehlen herkömmlichen Computerinfrastrukturen robuste Mechanismen zum Schutz von Daten und Code während ihrer aktiven Nutzung. Dies stellt eine Herausforderung für Organisationen dar, die mit sensiblen Informationen wie persönlich identifizierbaren Informationen (PII), Finanzdaten oder Gesundheitsakten umgehen, da sie potenzielle Bedrohungen angehen müssen, die die Vertraulichkeit und Integrität sowohl der Anwendung als auch der im Systemspeicher befindlichen Daten gefährden könnten. Confidential Computing schützt Daten während der Nutzung, indem die Berechnung in einer hardwarebasierten, zertifizierten vertrauenswürdigen Ausführungsumgebung durchgeführt wird. Durch die Einrichtung sicherer und isolierter Umgebungen können Organisationen die Sicherheit ihrer Vorgänge mit sensiblen und regulierten Daten effektiv verbessern. Diese kontrollierten Umgebungen stellen sicher, dass unbefugter Zugriff oder Änderungen an Anwendungen und Daten während ihrer aktiven Nutzung verhindert werden. Dadurch wird die allgemeine Sicherheitslage dieser Organisationen erheblich verbessert.

Einführung

Beim Computing gibt es drei verschiedene Zustände für Daten: während der Übertragung, im Ruhezustand und bei der Verwendung. Wenn Daten aktiv durch ein Netzwerk übertragen werden, gelten sie als „im Transfer“. Daten, die gespeichert und nicht aktiv abgerufen werden, gelten als „im Ruhezustand“. Schließlich werden Daten, die verarbeitet oder verwendet werden, als „im Gebrauch“ kategorisiert. In unserer modernen Zeit, in der die Speicherung, Nutzung und Weitergabe vertraulicher Daten alltäglich geworden ist, ist der Schutz solcher Daten in all ihren Zuständen immer wichtiger geworden. Dies betrifft eine breite Palette vertraulicher Informationen, darunter Kreditkartendaten, Krankenakten, Firewall-Konfigurationen und sogar Geolokalisierungsdaten. Kryptografie wird heute allgemein eingesetzt, um sowohl Datenvertraulichkeit (Verhinderung unbefugter Einsichtnahme) als auch Datenintegrität (Verhinderung oder Erkennung unbefugter Änderungen) zu gewährleisten. Während Techniken zum Schutz von Daten während der Übertragung und im Ruhezustand heute allgemein eingesetzt werden, ist der dritte Zustand – der Schutz von Daten während der Verwendung – die neue Grenze.

Sicherheitsrisiken bei ungeschützten Daten „im Einsatz“

Da Bedrohungsvektoren gegen Netzwerk- und Speichergeräte zunehmend durch die Schutzmaßnahmen für übertragene und gespeicherte Daten abgewehrt werden, haben Angreifer sich auf Daten konzentriert, die gerade verwendet werden. Die Branche war Zeuge mehrerer spektakulärer Memory Scraping-Angriffe, wie etwa der Target-Angriff, und CPU-Side-Channel-Angriffe, die die Aufmerksamkeit für diesen dritten Zustand dramatisch erhöht haben. Darüber hinaus gab es mehrere spektakuläre Angriffe mit Malware-Injektion, wie etwa der Triton-Angriff und der Angriff auf das ukrainische Stromnetz.

Erweiterter Malware-Schutz ist eine Art intelligenter, integrierter, hochentwickelter Malware-Analyse- und -Schutzlösung der Enterprise-Klasse. Darüber hinaus bietet er Sicherheitsteams die erforderliche Transparenz und Kontrolle, um Angriffe schnell zu erkennen, zu kooperieren und Malware zu kontrollieren, bevor sie Schaden anrichtet. Laut einer Analyse von Data Bridge Market Research wird der Markt für erweiterten Malware-Schutz bis 2028 auf 8.901,17 Millionen USD geschätzt und soll im Prognosezeitraum 2021 bis 2028 mit einer durchschnittlichen jährlichen Wachstumsrate von 14,30 % wachsen. Der Bericht von Data Bridge Market Research zum erweiterten Malware-Schutz bietet Analysen und Einblicke in die verschiedenen Faktoren, die im Prognosezeitraum voraussichtlich vorherrschen werden, und gibt Aufschluss über ihre Auswirkungen auf das Marktwachstum.

https://www.databridgemarketresearch.com/de/reports/global-advanced-malware-protection-market

Da die Datenmenge, die auf mobilen, Edge- und IoT-Geräten gespeichert und verarbeitet wird, immer weiter zunimmt, wird die Gewährleistung der Sicherheit von Daten und Anwendungen während der Ausführung immer wichtiger. Diese Geräte werden oft in abgelegenen und anspruchsvollen Umgebungen betrieben, was es schwierig macht, ihre Sicherheit aufrechtzuerhalten. Angesichts der persönlichen Natur der auf mobilen Geräten gespeicherten Informationen müssen Hersteller und Anbieter mobiler Betriebssysteme außerdem nachweisen, dass persönliche Daten geschützt sind und während der Weitergabe und Verarbeitung für Gerätehersteller und Dritte unzugänglich bleiben. Diese Schutzmaßnahmen müssen den gesetzlichen Anforderungen entsprechen. Selbst in Situationen, in denen Sie die Kontrolle über Ihre Infrastruktur haben, ist der Schutz Ihrer sensibelsten Daten während ihrer Verwendung ein wesentlicher Bestandteil einer robusten Defense-in-Depth-Strategie.

Confidential Computing nutzt hardwarebasierte Trusted Execution Environments (TEEs), um Daten während ihrer aktiven Nutzung zu schützen. Durch die Einführung von Confidential Computing können wir viele der zuvor besprochenen Bedrohungen wirksam eindämmen. Ein Trusted Execution Environment (TEE) ist eine Umgebung, die ein hohes Maß an Sicherheit in Bezug auf Datenintegrität, Datenvertraulichkeit und Codeintegrität gewährleistet. Durch die Verwendung hardwaregestützter Techniken bietet ein TEE verbesserte Sicherheitsgarantien für die Ausführung von Code und den Schutz von Daten innerhalb der Umgebung.

Im Kontext des vertraulichen Computings umfassen nicht autorisierte Entitäten andere Anwendungen auf dem Host, das Host-Betriebssystem, den Hypervisor, Systemadministratoren, Dienstanbieter und den Infrastrukturbesitzer sowie jeden, der physischen Zugriff auf die Hardware hat. Die Datenvertraulichkeit stellt sicher, dass diese nicht autorisierten Entitäten nicht auf Daten zugreifen können, während diese innerhalb der Trusted Execution Environment (TEE) verwendet werden. Die Datenintegrität schützt vor unbefugten Änderungen an Daten während der Verarbeitung durch Entitäten außerhalb der TEE. Die Codeintegrität garantiert, dass nicht autorisierte Entitäten den Code innerhalb der TEE nicht ersetzen oder ändern können. Zusammen gewährleisten diese Attribute nicht nur die Datenvertraulichkeit, sondern auch die Richtigkeit der Berechnungen und schaffen Vertrauen in die Berechnungsergebnisse. Dieses Maß an Sicherheit fehlt häufig bei Ansätzen, die keine hardwarebasierte TEE verwenden.

Die folgende Tabelle vergleicht eine typische TEE-Implementierung mit typischen Implementierungen zweier anderer neuer Lösungsklassen zum Schutz verwendeter Daten: Homomorphic Encryption (HE) und Trusted Platform Modules (TPM).

Tabelle 1 - Vergleich der Sicherheitseigenschaften von Confidential Computing vs. HE und TPMs

 

HW T-STÜCK

Homomorphe Verschlüsselung

TPM

Datenintegrität

UND

Y (vorbehaltlich der Codeintegrität)

Nur Schlüssel

Vertraulichkeit der Daten

UND

UND

Nur Schlüssel

Code-Integrität

UND

NEIN

UND

Code-Vertraulichkeit

Y (kann Arbeit erfordern)

NEIN

UND

Authentifizierter Start

Variiert

NEIN

NEIN

Programmierbarkeit

UND

Teilweise („Schaltkreise“)

NEIN

Attestierbarkeit

UND

NEIN

UND

Wiederherstellbarkeit

UND

NEIN

UND

Vertrauenswürdige Ausführungsumgebungen (TEEs)

Gemäß CCC (unter Befolgung gängiger Branchenpraktiken) ist eine Trusted Execution Environment (TEE) durch drei wesentliche Eigenschaften gekennzeichnet:

Abb. - Merkmale einer vertrauenswürdigen Ausführungsumgebung (TEE)

Confidential Computing: The Future of Cloud Computing Security

Zu den nicht autorisierten Entitäten gehören verschiedene Akteure wie andere Anwendungen auf dem Host, das Host-Betriebssystem und der Hypervisor, Systemadministratoren, Dienstanbieter, der Infrastrukturbesitzer oder alle anderen, die physisch auf die Hardware zugreifen. Diese Eigenschaften gewährleisten gemeinsam sowohl die Datenvertraulichkeit als auch die Genauigkeit der innerhalb der TEE durchgeführten Berechnungen und schaffen so Vertrauen in die Berechnungsergebnisse.

Darüber hinaus bietet es je nach spezifischer TEE-Implementierung möglicherweise weitere Funktionen, darunter:

Hardwarebasierte TEEs nutzen hardwaregestützte Techniken, um erhöhte Sicherheit für die Codeausführung und den Datenschutz innerhalb des TEE zu bieten. Dieses Maß an Sicherheit fehlt häufig bei Ansätzen, die nicht auf einem hardwarebasierten TEE basieren.

Vorteile von Confidential Computing

Vertrauliches Computing bietet Organisationen, denen Datenschutz und Datensicherheit am Herzen liegen, zahlreiche Vorteile.

Abb. - Vorteile von Confidential Computing

Confidential Computing: The Future of Cloud Computing Security

Implementierung von Confidential Computing

Die Implementierung vertraulicher Computer erfordert sorgfältige Planung und Überlegung.

Die folgende Tabelle zeigt, wie die Skalierbarkeit in verschiedenen Metriken zwischen klassischem Computing, Computing mit einem typischen hardwarebasierten TEE und homomorpher Verschlüsselung verglichen wird. Wie beim Sicherheitsvergleich können die tatsächlichen Antworten je nach Anbieter, Modell oder Algorithmus variieren.

Tabelle 2 - Vergleich der Skalierbarkeitseigenschaften von Confidential Computing vs. HE und TPMs

Eigenschaften

Einheimisch

HW T-STÜCK

Homomorphe Verschlüsselung

Datengrößenbeschränkungen

Hoch

Mittel

Niedrig

Rechengeschwindigkeit

Hoch

Hoch-Mittel

Niedrig

Skalieren auf mehrere Rechner

Ja

Mehr Arbeit

Ja

Möglichkeit zur datenübergreifenden Kombination (MPC)

Ja

Ja

Sehr begrenzt

Herausforderungen bei der Umsetzung

Zwar bringt Confidential Computing erhebliche Vorteile mit sich, doch müssen Unternehmen bei der Implementierung auch einige Herausforderungen bewältigen.

Schlüsselstrategien

Intel kündigt neue Initiativen für vertrauliches Computing an. Intel kündigte am 25. Januar 2023 eine Reihe neuer Initiativen für vertrauliches Computing an. Zu diesen Initiativen gehören:

Google kündigt Confidential Cloud Platform an. Google kündigte die allgemeine Verfügbarkeit seiner Confidential Cloud Platform am 1. Februar 2023 an. Die Confidential Cloud Platform ist eine Reihe von Diensten, die Unternehmen dabei helfen, vertrauliche Daten in der Cloud zu schützen. Zu diesen Diensten gehören:

Microsoft kündigt Confidential Computing für Azure an. Microsoft hat angekündigt, dass es am 3. Februar 2023 Confidential Computing in Azure einführt. Confidential Computing für Azure ist eine Reihe von Diensten, die Unternehmen dabei helfen, vertrauliche Daten in der Cloud zu schützen. Diese Dienste umfassen:

Dies sind einige Beispiele für wichtige strategische Initiativen, die kürzlich im Zusammenhang mit vertraulichem Computing angekündigt wurden. Diese Initiativen sollen Unternehmen dabei helfen, vertrauliche Computing-Technologien einzuführen und vertrauliche Daten in der Cloud zu schützen.

Anwendungsfälle aus der Praxis

Vertrauliches Computing findet in zahlreichen Branchen praktische Anwendung und ermöglicht Unternehmen, sensible Daten zu schützen und die Privatsphäre zu wahren.

Abb. - Anwendungsfälle aus der Praxis

Confidential Computing: The Future of Cloud Computing Security

Speicherung und Verarbeitung von Schlüsseln, Geheimnissen, Anmeldeinformationen und Token:

Kryptografische Schlüssel, Geheimnisse, Anmeldeinformationen und Token sind für Organisationen, die für den Schutz vertraulicher Daten verantwortlich sind, die „Schlüssel zum Königreich“. Traditionell wurden lokale Hardware-Sicherheitsmodule (HSMs) verwendet, um Sicherheitsstandards einzuhalten und die Sicherheit dieser Vermögenswerte zu gewährleisten. Der proprietäre Charakter traditioneller HSMs beschränkte jedoch ihre Skalierbarkeit und Kompatibilität mit Cloud- und Edge-Computing-Umgebungen, was zu höheren Kosten und Bereitstellungsproblemen führte. Confidential Computing behebt diese Einschränkungen, indem standardisierte Computerinfrastrukturen genutzt werden, die vor Ort, in öffentlichen/hybriden Clouds und sogar am Netzwerkrand für IoT-Anwendungsfälle verfügbar sind. Unabhängige Softwareanbieter (ISVs) und große Organisationen haben Confidential Computing bereits eingeführt, um kryptografische und geheime Informationen sicher zu speichern und zu verarbeiten. Schlüsselverwaltungsanwendungen nutzen hardwarebasierte Trusted Execution Environments (TEEs), um diese Vermögenswerte zu speichern und zu verarbeiten und so die Vertraulichkeit, Integrität und Codeintegrität der Daten sicherzustellen. Die durch Confidential Computing erreichte Sicherheit ist mit herkömmlichen HSMs vergleichbar und bietet eine skalierbarere und kostengünstigere Lösung für die Speicherung und Verarbeitung vertraulicher Informationen.

Anwendungsfälle für öffentliche Clouds:

In herkömmlichen öffentlichen Cloud-Umgebungen wird Vertrauen in mehrere Schichten innerhalb der Infrastruktur des Cloud-Anbieters gesetzt. Confidential Computing führt zusätzliche Schutzgarantien ein, indem es die Anzahl der Schichten reduziert, denen Endbenutzer vertrauen müssen. Da hardwarebasierte Trusted Execution Environments (TEEs) die verwendeten Anwendungen und Daten schützen, stehen unbefugte Akteure selbst mit physischem oder privilegiertem Zugriff vor erheblichen Herausforderungen beim Zugriff auf geschützten Anwendungscode und Daten. Confidential Computing zielt darauf ab, den Cloud-Anbieter aus der Trusted Computing Base zu entfernen und Workloads, die zuvor aufgrund von Sicherheitsbedenken oder Compliance-Anforderungen eingeschränkt waren, sicher in die öffentliche Cloud zu migrieren.

Mehrparteien-Computing

Mit der Entstehung neuer Computerparadigmen, die die gemeinsame Nutzung von Daten und Verarbeitungsleistung zwischen mehreren Parteien ermöglichen, wird die Gewährleistung der Vertraulichkeit und Integrität sensibler oder regulierter Daten immer wichtiger. Confidential Computing bietet Organisationen eine Lösung, um Daten sicher zu teilen und zu analysieren, ohne deren Privatsphäre zu gefährden, selbst über nicht vertrauenswürdige Plattformen hinweg. Private Multi-Party-Analysen können in verschiedenen Bereichen wie Finanzdienstleistungen, Gesundheitswesen und Regierung angewendet werden, um private Daten zu kombinieren und zu analysieren, ohne die zugrunde liegenden Daten oder Modelle des maschinellen Lernens offenzulegen. Mit Confidential Computing bleiben Daten vor Manipulation und Beeinträchtigung geschützt, sogar vor Insider-Bedrohungen. Dies gewährleistet eine sichere Zusammenarbeit und erschließt das Potenzial des globalen Datenaustauschs, während gleichzeitig Sicherheits-, Datenschutz- und Regulierungsrisiken gemindert werden.

Blockchain

Blockchains bieten ein unveränderliches Hauptbuch zur Aufzeichnung und Validierung von Transaktionen, ohne dass eine zentrale Autorität erforderlich ist. Sie bieten zwar Transparenz und Datenkonsistenz, aber die Speicherung sensibler Daten auf der unveränderlichen Blockchain wirft Datenschutzbedenken auf. Confidential Computing kann Blockchain-Implementierungen durch die Nutzung hardwarebasierter Trusted Execution Environments (TEEs) verbessern. TEEs ermöglichen Benutzern die sichere Ausführung von Smart Contracts und gewährleisten Datenschutz, Skalierbarkeit und Verifizierungsoptimierung. TEE-basierte Attestierungsdienste liefern Zuverlässigkeitsnachweise für Transaktionen, sodass jeder Teilnehmer historische Daten nicht mehr unabhängig validieren muss. Darüber hinaus behebt Confidential Computing Rechen- und Kommunikationsineffizienzen, die mit Konsensprotokollen in Blockchain-Systemen verbunden sind.

Mobile und persönliche Computergeräte

Vertrauliches Computing auf Client-Geräten bietet Anwendungsfälle, die Datenschutz und -integrität gewährleisten. Anwendungsentwickler und Gerätehersteller können sicherstellen, dass personenbezogene Daten während der Weitergabe oder Verarbeitung nicht sichtbar sind, wodurch die Hersteller von der Haftung befreit werden. Trusted Execution Environments (TEEs) ermöglichen eine formale Überprüfung der funktionalen Korrektheit, sodass Entwickler nachweisen können, dass Benutzerdaten das Gerät nicht verlassen haben. Beispielsweise können kontinuierliche Authentifizierungsimplementierungen innerhalb einer TEE ausgeführt werden, um Benutzer zu identifizieren, ohne vertrauliche biometrische oder verhaltensbezogene Daten preiszugeben. In ähnlicher Weise kann dezentrales Modelltraining auf dem Gerät Modelle verbessern und Verbesserungen teilen, ohne Trainingsdaten preiszugeben, indem benutzergesteuerte Richtlinien und Einschränkungen durch gegenseitige Bestätigung in einer hardwarebasierten TEE bereitgestellt werden.

Edge- und IoT-Anwendungsfälle:

Confidential Computing findet wertvolle Anwendungsfälle in Edge- und IoT-Umgebungen, in denen Datenschutz und -sicherheit von größter Bedeutung sind. In Szenarien wie der lokalen Suche und Filterung in Heimroutern zur DDoS-Erkennung kann eine Confidential-Computing-Umgebung beispielsweise sensibles Benutzerverhalten schützen, das aus TCP/IP-Paketmetadaten abgeleitet wird. Weitere Beispiele sind die vertrauliche Verarbeitung von Edge-Maschinenlernen, wie z. B. die Generierung von Videometadaten zur Reduzierung der Latenz, CCTV-Kameraüberwachung mit Vorlagen für Personen von Interesse und Gerätetrainingsmodelle. Confidential-Computing-Technologie hilft auch dabei, Angriffe abzuwehren, die den physischen Zugriff auf Geräte in Umgebungen ausnutzen, in denen nicht vertrauenswürdige Parteien physischen Zugriff haben könnten.

Eine Datensammlung von Datensätzen, eine technologische Datenbank, die mithilfe von Kryptografie miteinander verknüpft ist, wird als Blockchain bezeichnet. Es wird erwartet, dass der weltweite Ausbau grenzüberschreitender Handelsaktivitäten die Nachfrage nach der Technologie steigern wird. Data Bridge Market Research analysiert, dass der Blockchain-Markt, der im Jahr 2022 auf 10,02 Milliarden USD geschätzt wurde, bis 2030 766,10 Milliarden USD erreichen wird und im Prognosezeitraum von 2023 bis 2030 mit einer durchschnittlichen jährlichen Wachstumsrate von 71,96 % wachsen wird. Die gesetzliche Akzeptanz von Kryptowährungen motiviert Unternehmen und Investoren, ihre Investitionen in die Blockchain-Technologie zu erhöhen. Darüber hinaus wird erwartet, dass die Blockchain-Technologie in Kürze bei den Bemühungen der Unternehmen effektiver und effizienter wird. DeFi ist eine neue Blockchain-basierte Finanztechnologie, die die Kontrolle der Banken über Finanzdienstleistungen und Geld verringert. Während des gesamten Prognosezeitraums wird ein Marktwachstum durch zunehmende strategische Initiativen im Bereich der dezentralen Finanzen erwartet.

Zukünftige Trends und Richtungen

Der Bereich des vertraulichen Computing entwickelt sich rasch und es lassen sich mehrere zukünftige Trends und Richtungen erkennen.

Abschluss

Confidential Computing bietet einen bahnbrechenden Ansatz zum Schutz vertraulicher Daten während der Verarbeitung in nicht vertrauenswürdigen Umgebungen. Durch die Kombination von Prinzipien wie Datenisolierung, sicheren Enklaven, Bescheinigung, Verschlüsselung und Minimierung von Vertrauensannahmen können Unternehmen die Vertraulichkeit und Integrität ihrer Daten sicherstellen. Trotz Herausforderungen in Bezug auf Leistung, Schlüsselverwaltung, Legacy-Systeme und Anwendungsportabilität sind die Vorteile der Implementierung von Confidential Computing beträchtlich. Anwendungsfälle aus der Praxis belegen den Wert des Gesundheitswesens, des Finanzwesens, des Edge Computing und des Cloud Computing. Indem sie Best Practices befolgen und zukünftige Trends berücksichtigen, können Unternehmen Confidential Computing nutzen, um ihre vertraulichen Daten zu schützen und die Privatsphäre in einer zunehmend vernetzten Welt zu wahren.


DBMR hat mehr als 40 % der Fortune 500-Unternehmen weltweit betreut und verfügt über ein Netzwerk von mehr als 5000 Kunden. Unser Team hilft Ihnen gerne bei Ihren Fragen. Besuchen Sie https://www.databridgemarketresearch.com/de/contact

Kontaktiere uns

ERFAHREN SIE MEHR

Weitere Einblicke in Auswirkungen und Maßnahmen