Confidential Computing

Confidential Computing (CC) ist nun auf der Open Telekom Cloud verfügbar. Die hochsichere Computing-Variante erlaubt Unternehmen, auch höchsten Sicherheitsanforderungen gerecht zu werden, z. B. in regulierten Branchen. Die Open Telekom Cloud geht damit den Weg zur sichersten europäischen Cloud konsequent weiter und unterstreicht ihren Fokus auf Security, Privacy und Compliance.

Wieso Confidential Computing?

Sicherheit in der Cloud ist immer noch ein stark diskutiertes Thema. Viele Unternehmen greifen für ihre Sicherheitskonzepte auf Verschlüsselung zurück, die in Public Clouds schon lange verfügbar ist. So beispielsweise die Verschlüsselung von abgelegten Daten im Object Storage oder im Block Storage (OBS/EVS Encryption, „in rest“). Auch die Verschlüsselung von Daten während des Transports („in transit“) innerhalb der Cloud oder über öffentliche Netze ist längst etabliert. Aber für die Verarbeitung müssen Daten entschlüsselt werden. Das bietet z. B. dem Cloud-Provider oder anderen Personen mit Zugang zur Rechnereinheit theoretisch die Chance, auf Daten oder Workloads zuzugreifen. Dies hat im Zuge des Privacy Shields und des europäischen Strebens nach Datensouveränität zu brisanten Diskussionen geführt.

Aufsichtsbehörden in regulierten Branchen beispielsweise gehen auf Nummer sicher und fordern daher von Unternehmen, die sensible Daten oder Workloads in Public Clouds betreiben, zusätzliche technische Sicherheitsmaßnahmen, um das Sicherheitsniveau der Datenverarbeitung zu erhöhen.

Was ist Confidential Computing?

Hier kommt Confidential Computing ins Spiel. Confidential Computing sorgt dafür, dass sensible Daten/Workloads in einem speziell geschützten Bereich verschlüsselt verarbeitet werden können, in einer so genannten Enklave (engl. „Enclave“). Eine Enklave ist vergleichbar mit einem Tresor/Bankschließfach in der Cloud, zu dem nur der Nutzer Zugang hat, nicht aber der Cloud-Provider oder unbefugte Dritte. Die Verschlüsselungen „in rest“ und „in transit“ werden ergänzt um eine Verschlüsselung „in use“. Das umfasst die im Hauptspeicher (RAM) laufende Software und die verarbeiteten Daten.

Diese Enklave – das „Confidential Execution Environment“ – wird im Idealfall auf einem auch physisch isolierten Server bereitgestellt. Dazu muss die benutzte Hardware Confidential-Computing-fähig sein. Die Open Telekom Cloud hat einen Pool von Intel-Prozessoren eingeführt, die in der Lage sind, Intels Software Guard Extension (SGX) zu nutzen – die Grundlage für Confidential Computing.

Schaubild zum Thema "Wie funktioniert Confidential Computing?"

So können Sie Confidential Computing auf der Open Telekom Cloud nutzen

Unternehmen, die Confidential Computing einsetzen wollen, können auf der Konsole einen vorkonfigurierten Bare Metal Server „physical.i7n.28xlarge.4“ auswählen. Dieser ist auch im Elastic-Modus, also on demand, verfügbar. Zusätzlich können weitere Services in diesem Bereich über einen spezialisierten Partner der Open Telekom Cloud bezogen werden. Dieser bietet bereits vorkonfigurierte Lösungen für beispielsweise den Einsatz von Redis, Maria DB, Apache Spark und Zookeeper, TensorFlow und PyTorch.

Darüber hinaus plant die Open Telekom Cloud ab Herbst 2023 Confidential Computing auch in den Container-Services zur Verfügung zu stellen.

Wichtig: Auch die genutzten Applikationen müssen SGX-ready sein, also für eine Confidential-Computing-Verarbeitung vorbereitet werden.

Exemplarische Einsatzbeispiele für Confidential Computing

Mit Confidential Computing lassen sich nicht nur sensible Daten im Sinne der Gesetzgebung schützen und die Anforderung an Geheimhaltung von Nutzerdaten umsetzen, sondern auch geistiges Eigentum, das für das jeweilige Unternehmen einen hohen Wert darstellt. Dazu zählen beispielsweise proprietäre Geschäftslogiken, Analysefunktionen oder Know-how im Bereich der Datenverarbeitung für Machine Learning. Confidential Computing kann auch für die sichere Zusammenarbeit von Partnern in der Cloud genutzt werden („data clean rooms“). So lassen sich verschlüsselte Daten aus verschiedenen Quellen kombinieren, um vertrauliche Analysen zu fertigen, beispielsweise in der Geldwäschebekämpfung oder in der klinischen Forschung. Aber auch Kollaborationsplattformen zum Austausch von Dateien, Kalendereinladungen, E-Mails und Chat-Nachrichten oder Videokonferenzsysteme können zum Schutz personenbezogener Daten mittels Confidential Computing realisiert werden.

Modernisierung des Key Managements

Für viele Prozesse innerhalb der IT-Sicherheit, u. a. für die Ablage von Schlüsseln, hat sich der Einsatz von Hardware Security Modulen (HSM) etabliert. Über Confidential Computing kann diese teure Technologie ersetzt werden. Statt der Hardware-Module werden (software-basierte) Enklaven für die Ablage der Schlüssel genutzt. Dieses Verfahren lässt sich sehr kostengünstig skalieren, denn auf einer SGX-Hardware können Millionen von einzelnen HSMs realisiert werden. Zudem erlaubt es eine einfache Adaption bzw. Updates von (auch Nicht-Standard) Security-Algorithmen für das Post-Quantum-Zeitalter.

Verschlüsselte Datenbanken

Die Verschlüsselung von Daten für Datenbanken ist gängige Praxis. Doch für die Datenverarbeitung müssen Daten üblicherweise entschlüsselt werden. Mit Confidential Computing können die Daten auch während des Verarbeitungsvorgangs verschlüsselt werden. Damit können Unternehmen sicherstellen, dass Daten auch während der Prozessierung und Auswertung durch Datenbanken nicht eingesehen werden können. Zudem vereinfacht sich das Schlüsselmanagement: Eine Rotation der Schlüssel oder eine Double-Encryption werden durch „in use“-Verschlüsselung obsolet.

Vertrauliche Entwicklungsumgebungen in der Cloud

Applikationen entstehen immer häufiger in Co-Creation- oder Collaboration-Szenarien. Auch hier gilt es für Beitragende, eigene Intellectual Properties oder sensible Testdaten zu schützen. Confidential Computing bietet hier die Möglichkeit, Entwicklungsumgebungen zu verschlüsseln, sodass Partner keinen Zugriff auf Daten und Applikationskomponenten erhalten.

Noch Fragen?

Interessieren Sie sich für Confidential Computing auf der Open Telekom Cloud, haben hierzu aber noch Fragen? Sehr gerne beantworte ich Ihre Fragen im Rahmen einer kostenlosen Beratung!
Senior Product Manager
Andreas Walz

Anrede *

Frau
Herr
Divers

Vorname *

Nachname *

E-Mail *

Bitte Ihre E-Mail korrekt eingeben.

Firmenname

Telefonnummer

Bitte geben Sie eine gültige Telefonnummer an, damit wir Sie kontaktieren können.

Ihre Nachricht

Ja, ich bin damit einverstanden, dass die T-Systems International GmbH die von mir angegebenen Daten für die Beratung zu Produkten und zu meiner Information per E-Mail, Post, Telefon, SMS oder MMS verwendet. Die Weitergabe der Daten zu diesen Zwecken erfolgt im Rahmen der von mir erteilten Einwilligung ausschließlich innerhalb der T-Systems International GmbH und der Telekom Deutschland GmbH. Ich kann meine Einwilligung jederzeit per E-Mail an MAC-Support@telekom.de widerrufen. Die Hinweise zum Widerrufsrecht sowie die Datenschutzerklärung habe ich zur Kenntnis genommen.

Bitte lösen Sie die Sicherheitsabfrage. *

* Pflichtfelder

Was wir noch unter Sicherheit verstehen