Conteneurs confidentiels avec Red Hat OpenShift Container Platform et IBM® Secure Execution for Linux – IBM Blog

Le cloud hybride est devenu le approche dominante pour les stratégies cloud d'entreprise, mais cela s'accompagne de complexité et de préoccupations en matière d'intégration, de sécurité et de compétences. Pour répondre à ces préoccupations, l'industrie adopte des environnements d'exécution de conteneurs pour abstraire l'infrastructure. Plateforme de conteneurs Red Hat OpenShift (RH OCP) est apparu comme un solution leader pour prendre en charge le cycle de vie de développement d'applications, provisionner et gérer les images de conteneurs et les charges de travail dans une plate-forme pour les applications et l'écosystème conteneurisés. RH OCP fournit un environnement commun de déploiement, de contrôle et de gestion pour les charges de travail sur un ensemble diversifié d'infrastructures qui sous-tendent un cloud hybride. 

En bref, Red Hat OpenShift est le plateforme d'applications cloud hybride leader s'appuie sur une innovation open source conçue pour créer, déployer et exécuter des applications à grande échelle, où que vous soyez. 

Le cloud hybride oblige également à repenser considérablement la manière de sécuriser et de protéger les données et les actifs. En tant que tel, le secteur continue de s’éloigner des stratégies traditionnelles de fossé et de château vers des architectures basées sur la confiance zéro qui micro-segmentent les environnements pour minimiser les surfaces d’attaque. 

Informatique confidentielle est une capacité fondamentale émergente qui permet la protection des données en cours d’utilisation. La protection des données au repos et des données en mouvement est une pratique courante dans le secteur depuis des décennies ; cependant, avec l’avènement de la gestion hybride et décentralisée des infrastructures, il est désormais devenu impératif de protéger de manière égale les données utilisées. Plus précisément, l'informatique confidentielle utilise des enclaves matérielles riches en sécurité pour permettre à un locataire d'héberger des charges de travail et des données sur une infrastructure non fiable tout en garantissant que leurs charges de travail et leurs données ne peuvent pas être lues ou modifiées par toute personne ayant un accès privilégié à cette infrastructure. C'est ce qu'on appelle généralement l'assurance technique qui peut être résumée comme suit : un fournisseur ou une personne ne peut pas accéder à vos données. On peut opposer l’assurance technique à l’assurance opérationnelle plus couramment utilisée qui offre la moindre garantie qu’un prestataire ou une personne seul promet qu'ils n'accéderont pas à vos données, même s'ils pourraient techniquement. Alors que les menaces liées aux informations d'identification compromises ainsi que les menaces internes sont devenues un problème cause dominante des incidents de sécurité des données, l'assurance technique est devenue une priorité pour sécuriser les charges de travail sensibles et réglementées, que ces dernières s'exécutent dans des centres de données traditionnels sur site ou dans un cloud public. 

IBM et RedHat ont reconnu la nécessité d'une assurance technique dans une plateforme cloud hybride. Ils ont travaillé au sein de la Cloud Native Computing Foundation (CNCF) Conteneurs confidentiels communauté open source pour répondre à cette préoccupation et travaillons continuellement ensemble pour rendre disponible la technologie des conteneurs confidentiels. Ce dernier associe une technologie d'enclave riche en sécurité telle que IBM Secure Execution pour Linux avec OpenShift basé sur Kubernetes pour permettre le déploiement de conteneurs dans des pods sécurisés, offrant tous les avantages d'une expérience opérationnelle RH OCP omniprésente tout en étant également conçu pour protéger les conteneurs d'un locataire contre l'accès des utilisateurs privilégiés. Les conteneurs confidentiels vont au-delà des efforts antérieurs visant à résoudre ce problème en isolant le conteneur non seulement de l'administrateur de l'infrastructure mais également de l'administrateur Kubernetes. Cela offre au locataire le meilleur des deux mondes, où il peut tirer pleinement parti de l'abstraction d'un OpenShift géré pour développer une fois déployé n'importe où, tout en étant capable de déployer des données et des charges de travail avec une assurance technique dans une enclave entièrement privée et isolée, même si le locataire a le meilleur des deux mondes. ce dernier est hébergé et géré sur une infrastructure tierce.

IBM ajoute en outre des principes de confiance zéro supplémentaires conçus pour accroître la sécurité et la facilité d'utilisation avec le Plateforme IBM Hyper Protect.

Cette fonctionnalité unique est conçue pour les charges de travail qui ont de fortes exigences en matière de souveraineté des données, de réglementation ou de confidentialité des données. 

En tant que tels, les conteneurs confidentiels jouent un rôle clé dans les secteurs conçus pour sécuriser les données et favoriser l’innovation. Quelques exemples de cas d’utilisation à souligner : 

IA confidentielle : exploitez une IA digne de confiance tout en garantissant l'intégrité des modèles et la confidentialité des données. 

Les organisations qui exploitent les modèles d’IA sont souvent confrontées à des défis liés à la confidentialité et à la sécurité des données utilisées pour la formation ainsi qu’à l’intégrité des modèles d’IA eux-mêmes. La protection de la confidentialité des algorithmes propriétaires et des données de formation sensibles est cruciale. Dans de nombreux cas, plusieurs parties doivent collaborer et partager des données ou des modèles sensibles entre elles pour obtenir des informations précieuses basées sur l'IA. D’un autre côté, les données précieuses nécessaires pour obtenir ces informations doivent rester confidentielles et ne peuvent être partagées qu’avec certaines parties, voire aucun tiers. 

Alors, existe-t-il un moyen d’obtenir des informations précieuses sur des données précieuses grâce à l’IA sans avoir besoin d’exposer l’ensemble de données ou le modèle d’IA (LLM, ML, DL) à une autre partie ? 

Red Hat OpenShift, optimisé par Confidential Containers basé sur IBM Secure Execution, fournit une plate-forme d'IA confidentielle. Cela protège à la fois le modèle d'IA et les données de formation, permettant aux organisations de déployer des modèles d'apprentissage automatique sans compromettre la propriété intellectuelle ni exposer des informations sensibles. En atténuant les vecteurs d'attaque grâce à des conteneurs riches en sécurité, les conteneurs confidentiels garantissent l'intégrité des modèles d'IA, renforçant ainsi la confiance dans les applications d'IA. 

Santé : activer les technologies de la santé tout en préservant la confidentialité des données des patients 

Dans le secteur de la santé, la protection des données sensibles des patients est primordiale. Avec l’adoption croissante des dossiers de santé numériques et des initiatives de recherche collaborative, il existe une préoccupation croissante quant à la protection des informations sur les patients contre tout accès non autorisé et toute violation potentielle. 

Red Hat OpenShift, exploitant les conteneurs confidentiels, établit une enclave riche en sécurité pour les applications de soins de santé. Afin que les dossiers et les données médicales sensibles soient cryptés et traités en toute sécurité, protégeant ainsi contre les fuites de données et les accès non autorisés. En protégeant à la fois le code et les données, les établissements de santé sont en mesure d'adopter en toute confiance la transformation numérique tout en préservant la confidentialité de leurs patients en adoptant des technologies améliorant la confidentialité des données, telles que Confidential Compute. 

Ceci est conçu pour permettre plusieurs cas d'utilisation dans le secteur de la santé, l'un étant une collaboration multipartite sécurisée entre différentes institutions, comme le montre l'exemple suivant.  

Services financiers : innovez dans l'expérience client tout en protégeant les informations sensibles et en restant conforme 

Les institutions financières sont confrontées à des menaces constantes pour leurs données critiques et leurs transactions financières. Le secteur exige une infrastructure sécurisée capable de protéger les informations financières sensibles, de prévenir la fraude et de garantir la conformité réglementaire. 

Red Hat OpenShift avec des conteneurs confidentiels fournit un environnement renforcé pour les applications de services financiers. Cela garantit que les données et transactions financières sont traitées dans des enclaves hautement sécurisées, les protégeant ainsi des menaces externes. En protégeant l'intégrité du code et des données, les conteneurs confidentiels sur OpenShift aident les institutions financières à répondre à des exigences réglementaires strictes et améliorent la sécurité globale de leur infrastructure numérique. 

Améliorer la gestion des droits numériques et la protection de la propriété intellectuelle grâce à une tokenisation confidentielle et protégée par ordinateur 

Dans le paysage numérique actuel, le risque associé au vol de jetons ou à la signature non autorisée de contrats correspondants, tels que les jetons de propriété intellectuelle et de droits numériques, pose des défis importants. Les pertes financières potentielles et les menaces pour l’intégrité des écosystèmes numériques nécessitent une solution robuste qui va au-delà des mesures de sécurité conventionnelles. 

Le calcul confidentiel offre une solution pratique aux risques associés aux jetons volés en incorporant une technologie informatique confidentielle dans le processus de tokenisation, conçu pour établir une sécurité de bout en bout. Cette approche garantit que les opérations sensibles se déroulent dans un environnement sécurisé et isolé, préservant ainsi la confidentialité et l'intégrité des actifs numériques tout au long de leur cycle de vie. Le calcul confidentiel est conçu pour empêcher les acteurs malveillants de déchiffrer ou de manipuler des informations sensibles même s'ils accèdent à l'infrastructure sous-jacente.  

La mise en œuvre de plates-formes de jetons riches en sécurité via un calcul confidentiel offre des avantages tangibles. Les titulaires de droits numériques peuvent gérer et monétiser leur propriété intellectuelle sans craindre constamment le piratage ou la distribution non autorisée. Les parties prenantes de divers secteurs ont la possibilité de créer, d'échanger et d'appliquer des contrats numériques avec une confiance accrue dans la sécurité de leurs actifs tokenisés. Les implications financières liées au vol de jetons sont considérablement minimisées, réduisant ainsi le risque de perte de revenus due au piratage ou à la contrefaçon. Cela protège non seulement les intérêts économiques des créateurs et des distributeurs de contenu, mais favorise également un écosystème numérique plus fiable. 

En conclusion, l’adoption du calcul confidentiel dans le processus de tokenisation répond au défi crucial de l’ensemble croissant de cas d’utilisation allant des actifs financiers, de l’immobilier et, à une échelle beaucoup plus grande, des jetons garantissant les droits numériques et la propriété intellectuelle. Le résultat est une évolution vers des plates-formes de jetons plus sécurisées, offrant aux créateurs de contenu, aux distributeurs et aux consommateurs la confiance nécessaire pour s'engager dans des transactions numériques tout en garantissant la croissance soutenue et l'intégrité de l'économie numérique. 

Les jeux en ligne sont un exemple d’utilisation croissante des jetons. L’intégration du calcul confidentiel dans la tokenisation protège les actifs du jeu tels que les monnaies et les objets virtuels. Ceci est conçu pour promouvoir une sécurité accrue, en minimisant les risques financiers et les perturbations causées par les jetons volés dans le paysage dynamique des jeux en ligne. 

Cloud souverain : améliorez la sécurité des données pour permettre la confidentialité et la souveraineté des données 

Les préoccupations en matière de sécurité nationale et de souveraineté des données nécessitent une infrastructure cloud hybride sécurisée, conçue pour garantir que les données et applications critiques ne sont pas soumises à un accès non autorisé ou à une juridiction étrangère. 

Red Hat OpenShift, doté de capacités de conteneurs confidentiels, prend en charge la mise en œuvre de cloud souverains. En établissant des conteneurs sécurisés, il permet aux pays d'héberger des applications et des données critiques dans un environnement protégé, favorisant ainsi la souveraineté des données et la protection contre les menaces externes. Cette solution fournit une plate-forme fiable aux agences gouvernementales et aux infrastructures critiques, favorisant ainsi la sécurité nationale à l'ère numérique. 

Zero Trust SaaS : réussissez votre transformation SaaS tout en préservant la confidentialité des données de vos clients en appliquant les principes Zero Trust intégrés 

En tant que fournisseur SaaS visant à proposer des solutions évolutives pour cibler les clients ayant des données sensibles ou des exigences réglementaires, le défi réside dans la fourniture de services basés sur le cloud sans compromettre la sécurité et la confidentialité des données des clients. La nécessité d'un cadre Zero Trust complet devient cruciale pour garantir aux clients que leurs informations sensibles restent inaccessibles, non seulement par le fournisseur SaaS mais également par l'infrastructure cloud sous-jacente. 

Red Hat OpenShift, enrichi de conteneurs confidentiels et intégré à Zero Trust en tant que service, révolutionne l'approche Zero Trust SaaS du point de vue du fournisseur. Cette solution permet au fournisseur SaaS, au fournisseur de cloud, à l'administrateur IaaS et à l'administrateur Kubernetes de n'avoir aucun accès aux données des clients. 

L'absence d'isolation entre les différents clusters au sein de l'environnement cloud permet non seulement d'optimiser les coûts, mais également de rationaliser l'efficacité opérationnelle. Simultanément, l’isolement au niveau du pod au sein de l’espace de noms de chaque cluster améliore la sécurité, contribuant à réduire les efforts d’audit de certification et renforçant l’engagement du fournisseur SaaS envers l’intégrité des données. 

De plus, la mise en œuvre du Zero Trust multipartite permet aux clients et aux éditeurs de logiciels tiers d'exécuter des charges de travail confidentielles en tant que conteneurs sans accès direct aux données sous-jacentes. Cette approche innovante répond non seulement aux exigences strictes de sécurité des clients, mais positionne également le fournisseur SaaS comme un partenaire de confiance capable de fournir des solutions évolutives et riches en sécurité pour les clients disposant de données sensibles ou de contraintes réglementaires. 

En savoir plus sur Confidential Compute avec IBM Secure Execution sur IBM LinuxONE