Fortrolige containere med Red Hat OpenShift Container Platform og IBM® Secure Execution for Linux – IBM Blog

Hybrid sky er blevet den dominerende tilgang til enterprise cloud-strategier, men det kommer med kompleksitet og bekymringer over integration, sikkerhed og færdigheder. For at imødegå disse bekymringer omfavner industrien containerruntime-miljøer for at fjerne infrastruktur. Red Hat OpenShift Container Platform (RH OCP) er opstået som en førende løsning til understøttelse af applikationsudviklingens livscyklus, levering og administration af containerbilleder og arbejdsbelastninger til en platform for containeriserede applikationer og økosystemer. RH OCP leverer et fælles implementerings-, kontrol- og administrationsmiljø for arbejdsbelastninger på tværs af et forskelligartet sæt af infrastrukturer, der understøtter en hybrid cloud. 

Kort fortalt er Red Hat OpenShift førende hybrid cloud-applikationsplatform bygget på open source-innovation designet til at bygge, implementere og køre applikationer i massiv skala, hvor du vil. 

Hybrid cloud tvinger også til en betydelig nytænkning af, hvordan man sikrer og beskytter data og aktiver. Som sådan fortsætter industrien med at bevæge sig væk fra traditionelle voldgrav-og-slotstrategier mod nul tillidsbaserede arkitekturer, der mikrosegmenterer miljøer for at minimere angrebsoverflader. 

Fortrolig computing er en spirende grundlæggende kapacitet, der muliggør beskyttelse af data i brug. Beskyttelse af data-at-rest og data-in-motion har været en standardpraksis i branchen i årtier; Men med fremkomsten af ​​hybrid og decentral styring af infrastrukturen er det nu blevet bydende nødvendigt at beskytte data i brug på samme måde. Mere specifikt bruger fortrolig databehandling hardwarebaserede sikkerhedsrige enklaver for at give en lejer mulighed for at hoste arbejdsbelastninger og data på ikke-pålidelig infrastruktur, samtidig med at det sikres, at deres arbejdsbelastninger og data ikke kan læses eller ændres af nogen med privilegeret adgang til denne infrastruktur. Dette omtales typisk som teknisk sikring, der sammenfattende kan beskrives som en udbyder eller person kan ikke få adgang til dine data. Man kan sammenligne teknisk forsikring med den mere almindeligt anvendte driftssikring, der giver den ringere garanti for, at en udbyder eller person kun lover, at de ikke vil få adgang til dine data, selvom de teknisk set kunne. Efterhånden som kompromitterede legitimationsoplysninger såvel som insidertrusler er blevet en dominerende årsag til datasikkerhedshændelser, er teknisk sikring blevet en prioritet for at sikre følsomme og regulerede arbejdsbelastninger, uanset om sidstnævnte kører i traditionelle lokale eller i et offentligt cloud-datacenter. 

IBM og RedHat har anerkendt kravet om teknisk sikring i en hybrid cloud-platform. De har arbejdet som en del af Cloud Native Computing Foundation (CNCF) Fortrolige containere open source-fællesskab for at løse denne bekymring og arbejder løbende sammen for at gøre fortrolig containerteknologi tilgængelig. Sidstnævnte gifter sig med sikkerhedsrig enklaveteknologi som f.eks IBM Secure Execution til Linux med Kubernetes-baseret OpenShift for at give mulighed for udrulning af containere i sikrede pods, hvilket giver alle fordelene ved en allestedsnærværende RH OCP-driftsoplevelse, samtidig med at den er designet til at beskytte en lejers containere mod privilegeret brugeradgang. Fortrolige containere går ud over tidligere bestræbelser på at løse dette problem ved at isolere containeren ikke kun fra infrastrukturadministratoren, men også fra Kubernetes-administratoren. Dette giver lejeren det bedste fra begge verdener, hvor de fuldt ud kan udnytte abstraktionen af ​​en administreret OpenShift til at udvikle-en gang-deploy-hvor som helst, mens de er i stand til at implementere data og arbejdsbelastninger med teknisk sikkerhed i en helt privat og isoleret enklave, selvom sidstnævnte hostes og administreres på tredjeparts infrastruktur.

IBM tilføjer yderligere nul tillid principper designet til at øge sikkerheden og brugervenligheden med IBM Hyper Protect Platform.

Denne unikke egenskab er designet til arbejdsbelastninger, der har stærk datasuverænitet, lovgivningsmæssige eller databeskyttelseskrav. 

Som sådan spiller fortrolige containere en nøglerolle på tværs af industrier, der er udviklet til at sikre data og fremme innovation. Nogle eksempler på brugscases til at fremhæve: 

Fortrolig AI: udnytte pålidelig AI og samtidig sikre modellernes integritet og fortroligheden af ​​data 

Organisationer, der udnytter AI-modeller, støder ofte på udfordringer relateret til privatlivets fred og sikkerhed for de data, der bruges til træning, og integriteten af ​​AI-modellerne selv. Beskyttelse af fortroligheden af ​​proprietære algoritmer og følsomme træningsdata er afgørende. I mange tilfælde skal flere parter samarbejde og dele følsomme data eller modeller mellem hinanden for at opnå værdifuld AI-baseret indsigt. På den anden side skal de værdifulde data, der er nødvendige for at opnå denne indsigt, forblive fortrolige og må kun deles med visse parter eller slet ingen tredjeparter. 

Så er der en måde at få indsigt i værdifulde data gennem AI uden at skulle eksponere datasættet eller AI-modellen (LLM, ML, DL) for en anden part? 

Red Hat OpenShift, bemyndiget af Confidential Containers baseret på IBM Secure Execution, giver en fortrolig AI-platform. Dette sikrer både AI-modellen og træningsdataene, hvilket giver organisationer mulighed for at implementere maskinlæringsmodeller uden at kompromittere intellektuel ejendom eller afsløre følsomme oplysninger. Ved at afbøde angrebsvektorer gennem sikkerhedsrige containere sikrer fortrolige containere integriteten af ​​AI-modeller, hvilket øger tilliden til AI-applikationer. 

Sundhedspleje: muliggør sundhedsteknologi, mens patientdata holdes private 

I sundhedssektoren er beskyttelsen af ​​følsomme patientdata altafgørende. Med den stigende anvendelse af digitale sundhedsjournaler og samarbejdsinitiativer inden for forskning er der en voksende bekymring for at sikre patientoplysninger mod uautoriseret adgang og potentielle brud. 

Red Hat OpenShift, der udnytter fortrolige beholdere, etablerer en sikkerhedsrig enklave til sundhedsapplikationer. Så journaler og følsomme medicinske data krypteres og behandles sikkert, hvilket beskytter mod datalækager og uautoriseret adgang. Ved at beskytte både koden og dataene er sundhedsorganisationer i stand til trygt at omfavne digital transformation, mens de bevarer deres patienters privatliv ved at anvende teknologier, der forbedrer databeskyttelsen, såsom Confidential Compute. 

Dette er designet til at muliggøre flere use cases i sundhedssektoren, hvoraf den ene er sikkert flerpartssamarbejde mellem forskellige institutioner som vist i følgende eksempel.  

Finansielle tjenester: forny kundeoplevelsen, mens du holder følsomme oplysninger sikre og forbliver kompatible 

Finansielle institutioner står over for konstante trusler mod deres kritiske data og finansielle transaktioner. Industrien efterspørger en sikker infrastruktur, der kan beskytte følsomme finansielle oplysninger, forhindre svindel og sikre overholdelse af lovgivningen. 

Red Hat OpenShift med fortrolige beholdere giver et befæstet miljø til applikationer til finansielle tjenester. Dette sikrer, at finansielle data og transaktioner behandles inden for sikkerhedsrige enklaver, hvilket beskytter dem mod eksterne trusler. Ved at beskytte kode og dataintegritet hjælper fortrolige containere på OpenShift finansielle institutioner med at opfylde strenge regulatoriske krav og forbedrer den overordnede sikkerhedsposition for deres digitale infrastruktur. 

Forbedring af styring af digitale rettigheder og beskyttelse af intellektuel ejendom gennem fortrolig computerbeskyttet tokenisering 

I nutidens digitale landskab udgør risikoen forbundet med stjålne tokens eller uautoriseret underskrivelse af tilsvarende kontrakter, såsom intellektuelle ejendomsrettigheder og digitale rettighedstokens, betydelige udfordringer. De potentielle økonomiske tab og trusler mod de digitale økosystemers integritet kræver en robust løsning, der går ud over konventionelle sikkerhedsforanstaltninger. 

Confidential compute tilbyder en praktisk løsning på de risici, der er forbundet med stjålne tokens ved at inkorporere fortrolig computerteknologi i tokeniseringsprocessen, som er designet til at etablere end-to-end sikkerhed. Denne tilgang sikrer, at følsomme operationer finder sted i et sikkert og isoleret miljø, hvilket sikrer fortroligheden og integriteten af ​​digitale aktiver gennem deres livscyklus. Fortrolig databehandling er udviklet til at forhindre ondsindede aktører i at dechifrere eller manipulere følsomme oplysninger, selvom de får adgang til den underliggende infrastruktur.  

Implementering af sikkerhedsrige token-platforme gennem fortrolig databehandling giver håndgribelige fordele. Indehavere af digitale rettigheder kan administrere og tjene penge på deres intellektuelle ejendom uden konstant bekymring om piratkopiering eller uautoriseret distribution. Interessenter i forskellige brancher får mulighed for at skabe, handle og håndhæve digitale kontrakter med øget tillid til sikkerheden af ​​deres tokeniserede aktiver. Økonomiske konsekvenser forbundet med token-tyveri er væsentligt minimeret, hvilket reducerer risikoen for indtægtstab på grund af piratkopiering eller varemærkeforfalskning. Dette beskytter ikke kun de økonomiske interesser hos indholdsskabere og distributører, men fremmer også et mere troværdigt digitalt økosystem. 

Som konklusion løser vedtagelsen af ​​fortrolig databehandling i tokeniseringsprocessen den afgørende udfordring ved det voksende sæt af brugssager fra finansielle aktiver, fast ejendom og til meget større tokens, der sikrer digitale rettigheder og intellektuel ejendom. Resultatet er et skift mod mere sikkerhedsrige token-platforme, der giver indholdsskabere, distributører og forbrugere tillid til at engagere sig i digitale transaktioner og samtidig sikre den digitale økonomis vedvarende vækst og integritet. 

Et eksempel på stigende brug af tokens er onlinespil. Integreringen af ​​fortrolige computere i tokenisering beskytter aktiver i spillet som virtuelle valutaer og genstande. Dette er designet til at fremme øget sikkerhed og minimere de økonomiske risici og forstyrrelser forårsaget af stjålne tokens i det dynamiske landskab af onlinespil. 

Sovereign cloud: forbedre datasikkerheden for at muliggøre databeskyttelse og suverænitet 

Bekymringer om national sikkerhed og datasuverænitet driver behovet for en sikker hybrid cloud-infrastruktur, der er designet til at sikre, at kritiske data og applikationer ikke er underlagt uautoriseret adgang eller udenlandsk jurisdiktion. 

Red Hat OpenShift, med fortrolige containerfunktioner, understøtter implementeringen af ​​suveræne skyer. Ved at etablere sikre containere gør det nationer i stand til at hoste kritiske applikationer og data i et beskyttet miljø, hvilket fremmer datasuverænitet og beskytter mod eksterne trusler. Denne løsning giver en pålidelig platform for offentlige myndigheder og kritisk infrastruktur, der fremmer national sikkerhed i den digitale tidsalder. 

Zero Trust SaaS: få succes med din SaaS-transformation, mens du holder din klients data private ved at anvende indbyggede nul-tillidsprincipper 

Som en SaaS-udbyder, der sigter mod at tilbyde skalerbare løsninger til at målrette kunder med følsomme data eller regulatoriske krav, ligger udfordringen i at levere cloud-baserede tjenester uden at kompromittere sikkerheden og fortroligheden af ​​kundernes data. Behovet for en omfattende Zero Trust-ramme bliver afgørende for at sikre kunderne, at deres følsomme oplysninger forbliver utilgængelige, ikke kun af SaaS-udbyderen, men også af den underliggende cloud-infrastruktur. 

Red Hat OpenShift, forstærket med fortrolige beholdere og integreret med Zero Trust som en service, revolutionerer tilgangen til Zero Trust SaaS fra udbyderens synspunkt. Denne løsning hjælper med, at SaaS-udbyderen, cloud-udbyderen, IaaS Admin og Kubernetes Admin har nul adgang til klienters data. 

Fraværet af isolation mellem forskellige klynger i cloudmiljøet hjælper ikke kun med at optimere omkostningerne, men strømliner også driftseffektiviteten. Samtidigt øger isolationen på pod-niveau inden for hver klynges navneområde sikkerheden, hvilket bidrager til reduceret certificeringsrevisionsindsats og forstærker SaaS-udbyderens engagement i dataintegritet. 

Ydermere giver implementeringen af ​​multi-party Zero Trust klienter og 4. parts ISV'er mulighed for at køre fortrolige arbejdsbelastninger som containere uden direkte adgang til de underliggende data. Denne innovative tilgang opfylder ikke kun kundernes strenge sikkerhedskrav, men positionerer også SaaS-udbyderen som en betroet partner, der er i stand til at levere skalerbare og sikkerhedsrige løsninger til kunder med følsomme data eller regulatoriske begrænsninger. 

Lær mere om Confidential Compute med IBM Secure Execution på IBM LinuxONE