Contenedores confidenciales con Red Hat OpenShift Container Platform e IBM® Secure Execution para Linux – Blog de IBM

La nube híbrida se ha convertido en la enfoque dominante para las estrategias de nube empresarial, pero conlleva complejidad y preocupaciones sobre la integración, la seguridad y las habilidades. Para abordar estas preocupaciones, la industria está adoptando entornos de ejecución de contenedores para abstraer la infraestructura. Plataforma de contenedores Red Hat OpenShift (RH OCP) ha surgido como un solución líder para respaldar el ciclo de vida del desarrollo de aplicaciones, aprovisionar y administrar imágenes de contenedores y cargas de trabajo en una plataforma para aplicaciones y ecosistemas en contenedores. RH OCP proporciona un entorno común de implementación, control y gestión para cargas de trabajo en un conjunto diverso de infraestructuras que sustentan una nube híbrida. 

En resumen, Red Hat OpenShift es el plataforma líder de aplicaciones de nube híbrida basado en innovación de código abierto diseñado para crear, implementar y ejecutar aplicaciones a escala masiva, donde quiera que desee. 

La nube híbrida también está obligando a repensar significativamente cómo asegurar y proteger los datos y los activos. Como tal, la industria continúa alejándose de las estrategias tradicionales de fosos y castillos hacia arquitecturas basadas en confianza cero que microsegmentan entornos para minimizar las superficies de ataque. 

Computación confidencial es una capacidad fundamental emergente que permite la protección de los datos en uso. La protección de datos en reposo y en movimiento ha sido una práctica estándar en la industria durante décadas; sin embargo, con la llegada de la gestión híbrida y descentralizada de la infraestructura, ahora se ha vuelto imperativo proteger igualmente los datos en uso. Más específicamente, la informática confidencial utiliza enclaves ricos en seguridad basados ​​en hardware para permitir que un inquilino aloje cargas de trabajo y datos en una infraestructura que no es de confianza, al tiempo que garantiza que sus cargas de trabajo y datos no puedan ser leídos ni modificados por nadie con acceso privilegiado a esa infraestructura. Esto generalmente se conoce como garantía técnica y puede describirse resumidamente como un proveedor o persona no puede acceder a sus datos. Se puede contrastar la garantía técnica con la garantía operativa más comúnmente utilizada, que proporciona la menor garantía de que un proveedor o persona solo promete que no accederán a sus datos, aunque técnicamente podrían. A medida que las amenazas a las credenciales comprometidas, así como las amenazas internas, se han convertido en un problema causa dominante de incidentes de seguridad de datos, la garantía técnica se ha convertido en una prioridad para proteger cargas de trabajo sensibles y reguladas, ya sea que estas últimas se ejecuten en centros de datos locales tradicionales o en una nube pública. 

IBM y RedHat han reconocido la necesidad de garantía técnica en una plataforma de nube híbrida. Han trabajado como parte de la Cloud Native Computing Foundation (CNCF) Contenedores confidenciales comunidad de código abierto para abordar esta preocupación y estamos trabajando juntos continuamente para hacer que la tecnología de contenedores confidencial esté disponible. Este último combina tecnología de enclave rica en seguridad, como Ejecución segura de IBM para Linux con OpenShift basado en Kubernetes para permitir la implementación de contenedores en pods seguros, brindando todas las ventajas de una experiencia operativa RH OCP ubicua y al mismo tiempo diseñado para proteger los contenedores de un inquilino del acceso de usuarios privilegiados. Los contenedores confidenciales van más allá de los esfuerzos anteriores para resolver este problema al aislar el contenedor no solo del administrador de la infraestructura sino también del administrador de Kubernetes. Esto proporciona al inquilino lo mejor de ambos mundos, donde puede aprovechar plenamente la abstracción de un OpenShift administrado para desarrollar una vez que se implemente en cualquier lugar y, al mismo tiempo, poder implementar datos y cargas de trabajo con garantía técnica en un enclave completamente privado y aislado, incluso si el Este último está alojado y administrado en una infraestructura de terceros.

IBM está agregando además principios adicionales de confianza cero diseñados para aumentar la seguridad y la facilidad de uso con el Plataforma IBM Hyper Protect.

Esta capacidad única está diseñada para cargas de trabajo que tienen fuertes requisitos de privacidad de datos, normativas o de soberanía de datos. 

Como tal, los contenedores confidenciales desempeñan un papel clave en todas las industrias diseñadas para proteger los datos y fomentar la innovación. Algunos casos de uso de ejemplo para resaltar: 

IA confidencial: aproveche la IA confiable y al mismo tiempo garantice la integridad de los modelos y la confidencialidad de los datos. 

Las organizaciones que aprovechan los modelos de IA a menudo enfrentan desafíos relacionados con la privacidad y seguridad de los datos utilizados para la capacitación y la integridad de los propios modelos de IA. Proteger la confidencialidad de los algoritmos propietarios y los datos confidenciales de entrenamiento es crucial. En muchos casos, varias partes deben colaborar y compartir datos o modelos confidenciales entre sí para obtener información valiosa basada en la IA. Por otro lado, los datos valiosos necesarios para obtener esos conocimientos deben permanecer confidenciales y solo se permite compartirlos con determinadas partes o con ningún tercero. 

Entonces, ¿hay alguna manera de obtener información valiosa sobre datos a través de la IA sin la necesidad de exponer el conjunto de datos o el modelo de IA (LLM, ML, DL) a otra parte? 

Red Hat OpenShift, potenciado por Confidential Containers basado en IBM Secure Execution, proporciona una plataforma de IA confidencial. Esto protege tanto el modelo de IA como los datos de capacitación, lo que permite a las organizaciones implementar modelos de aprendizaje automático sin comprometer la propiedad intelectual ni exponer información confidencial. Al mitigar los vectores de ataque a través de contenedores ricos en seguridad, los contenedores confidenciales garantizan la integridad de los modelos de IA, mejorando la confianza en las aplicaciones de IA. 

Atención sanitaria: habilitar la tecnología sanitaria manteniendo la privacidad de los datos de los pacientes 

En la industria de la salud, la protección de los datos confidenciales de los pacientes es primordial. Con la creciente adopción de registros médicos digitales y las iniciativas de investigación colaborativa, existe una creciente preocupación por proteger la información de los pacientes frente a accesos no autorizados y posibles infracciones. 

Red Hat OpenShift, aprovechando los contenedores confidenciales, establece un enclave rico en seguridad para aplicaciones de atención médica. Para que los registros y los datos médicos confidenciales se cifren y procesen de forma segura, protegiendo contra fugas de datos y accesos no autorizados. Al salvaguardar tanto el código como los datos, las organizaciones de atención médica pueden adoptar con confianza la transformación digital y al mismo tiempo mantener la privacidad de sus pacientes mediante la adopción de tecnologías que mejoran la privacidad de los datos, como Confidential Compute. 

Esto está diseñado para permitir múltiples casos de uso en la industria de la salud, uno de los cuales es la colaboración segura entre diferentes instituciones, como se muestra en el siguiente ejemplo.  

Servicios financieros: innovar en la experiencia del cliente manteniendo segura la información confidencial y cumpliendo con las normas 

Las instituciones financieras enfrentan amenazas constantes a sus datos críticos y transacciones financieras. La industria exige una infraestructura segura que pueda proteger la información financiera confidencial, prevenir el fraude y garantizar el cumplimiento normativo. 

Red Hat OpenShift con contenedores confidenciales proporciona un entorno fortalecido para aplicaciones de servicios financieros. Esto garantiza que los datos y las transacciones financieras se procesen dentro de enclaves ricos en seguridad, protegiéndolos de amenazas externas. Al salvaguardar la integridad del código y los datos, los contenedores confidenciales de OpenShift ayudan a las instituciones financieras a cumplir con estrictos requisitos regulatorios y mejoran la postura de seguridad general de su infraestructura digital. 

Mejorar la gestión de derechos digitales y la protección de la propiedad intelectual a través de tokenización confidencial protegida por computadora 

En el panorama digital actual, el riesgo asociado con los tokens robados o la firma no autorizada de los contratos correspondientes, como los tokens de propiedad intelectual y derechos digitales, plantea desafíos importantes. Las posibles pérdidas financieras y amenazas a la integridad de los ecosistemas digitales exigen una solución sólida que vaya más allá de las medidas de seguridad convencionales. 

La computación confidencial ofrece una solución práctica a los riesgos asociados con los tokens robados al incorporar tecnología informática confidencial en el proceso de tokenización, que está diseñada para establecer una seguridad de extremo a extremo. Este enfoque garantiza que las operaciones sensibles se produzcan en un entorno seguro y aislado, salvaguardando la confidencialidad y la integridad de los activos digitales durante todo su ciclo de vida. La computación confidencial está diseñada para evitar que actores malintencionados descifren o manipulen información confidencial incluso si obtienen acceso a la infraestructura subyacente.  

La implementación de plataformas de tokens ricas en seguridad a través de computación confidencial ofrece beneficios tangibles. Los titulares de derechos digitales pueden gestionar y monetizar su propiedad intelectual sin la preocupación constante de la piratería o la distribución no autorizada. Las partes interesadas de diversas industrias obtienen la capacidad de crear, comerciar y hacer cumplir contratos digitales con mayor confianza en la seguridad de sus activos tokenizados. Las implicaciones financieras vinculadas al robo de tokens se minimizan significativamente, lo que reduce el riesgo de pérdida de ingresos debido a la piratería o la falsificación. Esto no sólo protege los intereses económicos de los creadores y distribuidores de contenidos, sino que también promueve un ecosistema digital más confiable. 

En conclusión, la adopción de computación confidencial en el proceso de tokenización aborda el desafío crucial del creciente conjunto de casos de uso, desde activos financieros, bienes raíces y hasta tokens de escala mucho mayor que garantizan derechos digitales y propiedad intelectual. El resultado es un cambio hacia plataformas de tokens más seguras, que brinden a los creadores, distribuidores y consumidores de contenido la confianza para participar en transacciones digitales y al mismo tiempo garantizar el crecimiento sostenido y la integridad de la economía digital. 

Un ejemplo del uso creciente de tokens son los juegos en línea. La integración de la computación confidencial en la tokenización protege los activos del juego, como monedas y artículos virtuales. Esto está diseñado para promover una mayor seguridad, minimizando los riesgos financieros y las interrupciones causadas por los tokens robados en el panorama dinámico de los juegos en línea. 

Nube soberana: mejorar la seguridad de los datos para permitir la privacidad y soberanía de los datos 

Las preocupaciones sobre la seguridad nacional y la soberanía de los datos impulsan la necesidad de una infraestructura de nube híbrida segura diseñada para garantizar que los datos y aplicaciones críticos no estén sujetos a acceso no autorizado o jurisdicción extranjera. 

Red Hat OpenShift, con capacidades de contenedores confidenciales, admite la implementación de nubes soberanas. Al establecer contenedores seguros, permite a las naciones alojar aplicaciones y datos críticos dentro de un entorno protegido, promoviendo la soberanía de los datos y protegiendo contra amenazas externas. Esta solución proporciona una plataforma confiable para agencias gubernamentales e infraestructura crítica, fomentando la seguridad nacional en la era digital. 

Zero Trust SaaS: tenga éxito en su transformación SaaS manteniendo la privacidad de los datos de sus clientes mediante la aplicación de principios integrados de confianza cero. 

Como proveedor de SaaS que busca ofrecer soluciones escalables para clientes con datos confidenciales o requisitos regulatorios, el desafío radica en brindar servicios basados ​​en la nube sin comprometer la seguridad y la confidencialidad de los datos de los clientes. La necesidad de un marco integral de Confianza Cero se vuelve crucial para garantizar a los clientes que su información confidencial permanece inaccesible, no solo para el proveedor de SaaS sino también para la infraestructura de nube subyacente. 

Red Hat OpenShift, fortalecido con contenedores confidenciales e integrado con Zero Trust como servicio, revoluciona el enfoque de Zero Trust SaaS desde el punto de vista del proveedor. Esta solución ayuda a que el proveedor de SaaS, el proveedor de la nube, el administrador de IaaS y el administrador de Kubernetes no tengan acceso a los datos de los clientes. 

La ausencia de aislamiento entre diferentes clústeres dentro del entorno de la nube no sólo ayuda a optimizar los costos sino que también agiliza la eficiencia operativa. Al mismo tiempo, el aislamiento a nivel de pod dentro del espacio de nombres de cada clúster mejora la seguridad, lo que contribuye a reducir los esfuerzos de auditoría de certificación y refuerza el compromiso del proveedor de SaaS con la integridad de los datos. 

Además, la implementación de Zero Trust multipartito permite a los clientes y a los ISV externos ejecutar cargas de trabajo confidenciales como contenedores sin acceso directo a los datos subyacentes. Este enfoque innovador no sólo cumple con los estrictos requisitos de seguridad de los clientes, sino que también posiciona al proveedor de SaaS como un socio confiable capaz de ofrecer soluciones escalables y ricas en seguridad para clientes con datos confidenciales o restricciones regulatorias. 

Obtenga más información sobre la informática confidencial con IBM Secure Execution en IBM LinuxONE