Erfolgreich im Datenzeitalter - mit neuen Maßstäben bei Leistung, Flexibilität und Skalierbarkeit

Künstliche Intelligenz, Advanced Analytics, Cloud Computing und neue Storage-Technologien helfen Unternehmen bei der Problemlösung, Entscheidungsfindung und Skalierung. Erfahren Sie hier, wie Sie mit moderner, effizienter IT-Infrastruktur im Zeitalter der Daten erfolgreich sein können.

Confidential Computing

Die Vertrauensbasis für Cloud Computing

11.11.2020
Die Datenschutz-Grundverordnung (DSGVO) und andere Compliance-Vorgaben fordern einen lückenlosen Schutz der Cloud-Daten. Mit Confidential Computing haben selbst Cloud-Provider keine Möglichkeit, auf die Daten während der Verarbeitung zuzugreifen.

Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so der Cloud-Monitor 2020 von Bitkom und KPMG (PDF). Wenn Unternehmen zögern, die Public-Cloud zu nutzen, ist das meist wegen Sicherheitsbedenken. Laut Studie fürchten sieben von zehn Nichtnutzern einen unberechtigten Zugriff auf sensible Unternehmensdaten.

Confidential Computing ermöglicht den Schutz von Cloud-Daten auch während ihrer Verwendung.
Confidential Computing ermöglicht den Schutz von Cloud-Daten auch während ihrer Verwendung.
Foto: bestfoto77 - shutterstock.com

Sicherheitsbedenken sind es auch, die die Nutzung von Cloud-Infrastrukturen in besonders sensiblen Bereichen oftmals verhindern. Geschäftskritische Anwendungen etwa im Bereich Industrie 4.0 müssen deshalb meist auf die Vorteile von Cloud-Diensten verzichten, ebenso wie Applikationen im Gesundheitswesen oder in der Bildung. Die Sicherheit in der Cloud ist also entscheidend für die weitere Digitalisierung sensibler Bereiche.

Bisherige Cloud-Sicherheit reicht nicht aus

Wer Cloud-Anwendungen nutzt oder deren Einsatz plant, macht verschiedene Kriterien bei der Auswahl eines Cloud-Dienstleisters zur Voraussetzung, so der Cloud-Monitor 2020. Die Konformität mit der Datenschutz-Grundverordnung ist dabei die wichtigste, fast alle Unternehmen (96 Prozent) geben dies an. Für 88 Prozent ist eine transparente Sicherheitsarchitektur eine Grundvoraussetzung, mehr als drei Viertel (77 Prozent) bestehen auf die Möglichkeit, Cloud-Daten verschlüsseln zu können.

Die Verschlüsselung der Cloud-Daten betrifft dabei jedoch nur die Übertragungswege der Daten in die Cloud (Data in Transit) und zurück sowie deren Speicherung (Data at Rest). Während der Verarbeitung der Daten in der Cloud (Data in Use) gibt es jedoch eine Lücke im Schutz, denn die Daten werden zur Verarbeitung entschlüsselt.

Intel Software Guard Extensions (Intel SGX) auf Basis der Intel Xeon E-Prozessoren schützen Daten sogar vor Zugriffen des Cloud-Providers und schaffen eine Vertrauensbasis innerhalb von Cloud-Diensten.
Intel Software Guard Extensions (Intel SGX) auf Basis der Intel Xeon E-Prozessoren schützen Daten sogar vor Zugriffen des Cloud-Providers und schaffen eine Vertrauensbasis innerhalb von Cloud-Diensten.
Foto: Intel

Bei sensiblen Daten mit entsprechend hohem Schutzbedarf fordern sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Aufsichtsbehörden für den Datenschutz (PDF) eine durchgehende Ende-zu-Ende-Verschlüsselung. Die Forderung gilt für die Verarbeitung von Gesundheitsdaten genauso wie für die Verwendung vertraulicher Daten für Methoden der künstlichen Intelligenz, um zwei populäre Beispiele zu nennen.

Die Compliance bei der Cloud-Nutzung erfordert deshalb, dass die Verarbeitung in der Cloud durchgehend geschützt sein muss, auch gegen andere Cloud-Nutzer, gegen Insider und auch gegen die Cloud-Provider.

Ende-zu-Ende-Sicherheit im Cloud Computing

Der Datenschutz während der Verarbeitung der Cloud-Daten soll nun durch Confidential Computing gewährleistet werden. Bereiche wie Gesundheitswesen und Banking, die aktuell in weiten Teilen aus Sicherheitsgründen keine Cloud-Infrastruktur nutzen, werden dazu in Zukunft durch Confidential Computing in der Lage sein. Doch was ist eigentlich Confidential Computing?

Die Marktforscher von Gartner definieren es im "Hype Cycle for Privacy" etwa so:: Confidential Computing ist der Schutz von Daten während ihrer Verwendung und wird dadurch erreicht, dass die Daten während der Verarbeitung in einer hardwarebasierten, vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) isoliert werden. Eine TEE-Hardware stellt einen abgesicherten Container bereit und schützt so einen Teil des Prozessors und Speichers der Hardware.

Confidential Computing ist dabei keine Zukunftsmusik, sondern kann heute schon verwendet werden. Azure Confidential Computing mit Intel ermöglicht den Schutz von Daten vor bösartigen Bedrohungen von innen während der Verwendung der Daten. Azure Confidential Computing mit Intel gewährleistet die Kontrolle über die Daten während ihrer gesamten Lebensdauer, den Schutz und die Überprüfung der Integrität von Code in der Cloud und stellt zudem sicher, dass die Daten und der Code des Cloud-Anwenders außerhalb der Sicht und des Zugriffs des Anbieters der Cloud-Plattform bleiben.

So funktioniert Azure Confidential Computing mit Intel

Möglich wird Confidential Computing mit den neuen virtuellen Computern (DCsv2-Serie) in Azure, mit der neuesten Generation von Intel Xeon-Prozessoren mit Intel SGX-Technologie (Intel Software Guard Extensions) in einer vollständig virtualisierten,Cloud-basierten Umgebung. Mithilfe der virtuellen Maschinen lassen sich Anwendungen ausführen und erstellen, die den Code und die Daten während der Verwendung schützen.

Bei virtuellen Azure Confidential Computing-Computern ist ein Teil der CPU-Hardware für einen Teil des Codes und der Daten für die Anwendung reserviert. Dieser eingeschränkte Teil ist eine sogenannte Enklave. Letztere sind geschützte Bereiche des Prozessors und Arbeitsspeichers. Es gibt keine Möglichkeit, Daten oder Code innerhalb einer Enklave anzuzeigen - auch nicht mit einem Debugger. Wenn mit nicht vertrauenswürdigem Code versucht wird, den Inhalt im Arbeitsspeicher der Enklave zu ändern, wird die Umgebung deaktiviert und die Durchführung der Vorgänge verweigert.

Sichere, datenschutzgerechte Cloud-Umgebungen

Mit Intel und Microsoft Azure können Anwender ihre Daten in einer sicheren und privaten Cloud-Umgebung ausführen. Als Gründungsmitglieder des Confidential Computing Consortium sind beide Unternehmen bestrebt, heute und in Zukunft eine sicherere Cloud-Infrastruktur bereitzustellen.

Confidential Computing mit Intel und Azure ist ein entscheidender Schritt in Richtung Security by Design im Cloud Computing und ermöglicht einen umfassenden, lückenlosen Datenschutz, der Vertraulichkeit und Integrität in der Cloud auch während der Verarbeitung sicherstellt.

Auch die Verarbeitung besonders sensibler Daten und unternehmenskritischer Applikationen können dank Confidential Computing die Vorteile der Cloud nutzen. Datenschutz und Sicherheit sind damit kein Hemmschuh mehr für die Cloud-Nutzung, sondern werden zum Vorteil von Cloud Computing.