Red Hat OpenShift Container Platform および IBM® Secure Execution for Linux を使用した機密コンテナー – IBM ブログ

ハイブリッドクラウドは、 エンタープライズクラウド戦略の有力なアプローチ、しかし、複雑さと、統合、セキュリティ、スキルに関する懸念が伴います。これらの懸念に対処するために、業界はインフラストラクチャを抽象化するコンテナ ランタイム環境を採用しています。 Red Hat OpenShift Container Platform (RH OCP) として登場しました 最先端のソリューション アプリケーション開発ライフサイクルをサポートし、コンテナ化されたアプリケーションとエコシステムのプラットフォームにコンテナ イメージとワークロードをプロビジョニングおよび管理します。 RH OCP は、ハイブリッド クラウドを支えるさまざまなインフラストラクチャ全体にわたるワークロードに共通の導入、制御、管理環境を提供します。 

簡単に言うと、Red Hat OpenShift は 最先端のハイブリッド クラウド アプリケーション プラットフォーム オープンソースのイノベーションに基づいて構築されており、どこでも大規模なアプリケーションを構築、展開、実行できるように設計されています。 

ハイブリッド クラウドでは、データと資産を保護する方法についても大幅な再考が求められています。そのため、業界は従来の堀と城の戦略から、環境をマイクロセグメント化して攻撃対象領域を最小限に抑えるゼロトラストベースのアーキテクチャに移行し続けています。 

機密コンピューティング は、使用中のデータの保護を可能にする新しい基本機能です。保存データと移動中のデータの保護は、業界では何十年にもわたって標準的な慣行でした。しかし、インフラストラクチャのハイブリッドおよび分散管理の出現により、使用中のデータを同様に保護することが不可欠になりました。より具体的には、コンフィデンシャル コンピューティングでは、ハードウェア ベースのセキュリティが豊富なエンクレーブを使用して、テナントが信頼されていないインフラストラクチャ上でワークロードとデータをホストできるようにしながら、そのインフラストラクチャへの特権アクセスを持つユーザーがそのワークロードとデータを読み取ったり変更したりできないようにします。これは通常、技術的保証と呼ばれ、要約すると次のように説明できます。 プロバイダーまたは個人があなたのデータにアクセスできない。技術的保証を、プロバイダーまたは個人のみが保証するより弱い保証を提供する、より一般的に使用される運用的保証と対比することができます。 たとえ技術的にはアクセスできたとしても、彼らはあなたのデータにアクセスしないことを約束します。内部関係者の脅威だけでなく、認証情報の漏洩も脅威となっているため、 データセキュリティインシデントの主な原因、従来のオンプレミスで実行されているのか、パブリック クラウド データ センターで実行されているのかにかかわらず、機密性の高い規制されたワークロードを保護するには、技術的保証が優先事項になっています。 

IBM と RedHat は、ハイブリッド クラウド プラットフォームにおける技術保証の要件を認識しています。彼らは Cloud Native Computing Foundation (CNCF) の一部として活動してきました。 機密コンテナ この懸念に対処するためのオープンソース コミュニティ 機密コンテナ技術を利用できるようにするために継続的に協力しています。 後者は、次のようなセキュリティが豊富なエンクレーブ テクノロジと結合します。 IBM Secure Execution for Linux Kubernetes ベースの OpenShift を使用すると、セキュリティで保護されたポッドへのコンテナのデプロイが可能になり、ユビキタスな RH OCP 運用エクスペリエンスのすべての利点を提供すると同時に、テナントのコンテナを特権ユーザー アクセスから保護するように設計されています。機密コンテナーは、インフラストラクチャー管理者だけでなく Kubernetes 管理者からもコンテナーを分離することで、この問題を解決するためのこれまでの取り組みを超えています。これにより、テナントは、マネージド OpenShift の抽象化を最大限に活用して、一度開発すればどこでもデプロイできると同時に、技術保証付きでデータとワークロードを完全にプライベートで分離されたエンクレーブにデプロイできるという両方の長所を得ることができます。後者はサードパーティのインフラストラクチャでホストおよび管理されます。

IBM は、セキュリティーと使いやすさを向上させるために設計された追加のゼロトラスト原則をさらに追加しています。 IBM ハイパープロテクトプラットフォーム.

この独自の機能は、強力なデータ主権、規制、またはデータ プライバシーの要件があるワークロード向けに設計されています。 

そのため、機密コンテナは、データを保護し、イノベーションを促進するために設計された業界全体で重要な役割を果たしています。強調すべきいくつかの使用例: 

機密性の高い AI: 信頼できる AI を活用し、モデルの整合性とデータの機密性を確保します。 

AI モデルを活用する組織は、トレーニングに使用されるデータのプライバシーとセキュリティ、および AI モデル自体の整合性に関する課題に直面することがよくあります。独自のアルゴリズムと機密トレーニング データの機密性を保護することは非常に重要です。多くの場合、AI ベースの貴重な洞察を得るには、複数の当事者が協力して相互に機密データやモデルを共有する必要があります。一方で、これらの洞察を得るために必要な貴重なデータは機密として保持する必要があり、特定の当事者とのみ共有するか、第三者にはまったく共有することが許可されません。 

では、データセットや AI モデル (LLM、ML、DL) を他者に公開することなく、AI を通じて貴重なデータの洞察を得る方法はあるのでしょうか? 

IBM Secure Execution に基づく Confidential Containers を活用した Red Hat OpenShift は、機密 AI プラットフォームを提供します。これにより、AI モデルとトレーニング データの両方が保護され、組織は知的財産を侵害したり機密情報を漏洩したりすることなく機械学習モデルを導入できるようになります。 Confidential Containers は、セキュリティ機能が豊富なコンテナを通じて攻撃ベクトルを軽減することで、AI モデルの整合性を確保し、AI アプリケーションの信頼性を高めます。 

ヘルスケア: 患者データのプライバシーを保ちながらヘルステクノロジーを実現 

医療業界では、患者の機密データの保護が最も重要です。デジタル医療記録や共同研究の取り組みの導入が進むにつれ、不正アクセスや潜在的な侵害から患者情報を保護することについての懸念が高まっています。 

Red Hat OpenShift は、Confidential Containers を活用して、ヘルスケア アプリケーション用のセキュリティが強化されたエンクレーブを確立します。記録と機密医療データが暗号化されて安全に処理され、データ漏洩や不正アクセスから保護されます。コードとデータの両方を保護することで、医療機関は、Confidential Compute などのデータ プライバシー強化テクノロジーを採用して患者のプライバシーを維持しながら、デジタル変革を自信を持って受け入れることができます。 

これは、医療業界での複数のユースケースを可能にするように設計されており、その 1 つは、次の例に示すように、異なる機関間の安全なマルチパーティ コラボレーションです。  

金融サービス: 機密情報を安全に保ち、コンプライアンスを維持しながら顧客エクスペリエンスを革新します 

金融機関は、重要なデータと金融取引に対する絶え間ない脅威に直面しています。業界は、機密の財務情報を保護し、詐欺を防止し、法規制順守を保証できる安全なインフラストラクチャを求めています。 

Red Hat OpenShift と機密コンテナーは、金融サービス アプリケーションに強化された環境を提供します。これにより、財務データとトランザクションがセキュリティが強化されたエンクレーブ内で処理され、外部の脅威から保護されることが保証されます。 OpenShift 上の機密コンテナは、コードとデータの整合性を保護することで、金融機関が厳しい規制要件を満たし、デジタル インフラストラクチャの全体的なセキュリティ体制を強化するのに役立ちます。 

機密コンピューティングで保護されたトークン化によるデジタル著作権管理と知的財産保護の強化 

今日のデジタル環境では、トークンの盗難や、知的財産やデジタル権利トークンなどの対応する契約への不正な署名に関連するリスクが大きな課題となっています。潜在的な経済的損失とデジタル エコシステムの完全性に対する脅威には、従来のセキュリティ対策を超えた堅牢なソリューションが必要です。 

Confidential compute は、エンドツーエンドのセキュリティを確立するように設計されたトークン化プロセスに Confidential コンピューティング テクノロジを組み込むことで、盗難されたトークンに関連するリスクに対する実用的なソリューションを提供します。このアプローチにより、機密性の高い操作が安全で隔離された環境で確実に行われ、ライフサイクル全体を通じてデジタル資産の機密性と完全性が保護されます。機密コンピューティングは、悪意のある攻撃者が基盤となるインフラストラクチャにアクセスした場合でも、機密情報を解読または操作できないように設計されています。  

機密コンピューティングを通じてセキュリティが豊富なトークン プラットフォームを実装すると、目に見えるメリットが得られます。デジタル権利所有者は、著作権侵害や不正配布を常に心配することなく、知的財産を管理し、収益化できます。さまざまな業界の関係者は、トークン化された資産のセキュリティに対する自信を高めながら、デジタル契約の作成、取引、執行を行うことができるようになります。トークンの盗難に伴う経済的影響は大幅に最小限に抑えられ、著作権侵害や偽造による収益損失のリスクが軽減されます。これにより、コンテンツ作成者や配信者の経済的利益が保護されるだけでなく、より信頼できるデジタル エコシステムが促進されます。 

結論として、トークン化プロセスにおける機密コンピューティングの採用は、金融資産、不動産から、デジタル権利と知的財産を保護するはるかに大規模なトークンに至るまで、拡大する一連のユースケースという重大な課題に対処します。その結果、よりセキュリティが強化されたトークン プラットフォームへの移行がもたらされ、デジタル経済の持続的な成長と完全性を確保しながら、コンテンツ作成者、配信者、消費者に安心してデジタル取引に参加できるようになります。 

トークンの使用が増加している一例は、オンライン ゲームです。トークン化への機密コンピューティングの統合により、仮想通貨やアイテムなどのゲーム内資産が保護されます。これは、セキュリティの強化を促進し、オンライン ゲームのダイナミックな状況において、盗難されたトークンによって引き起こされる経済的リスクと混乱を最小限に抑えるように設計されています。 

ソブリン クラウド: データ セキュリティを強化してデータのプライバシーと主権を実現します 

国家安全保障とデータ主権への懸念により、重要なデータやアプリケーションが不正アクセスや外国の管轄権にさらされないように設計された安全なハイブリッド クラウド インフラストラクチャの必要性が高まっています。 

Red Hat OpenShift は機密コンテナー機能を備えており、ソブリン クラウドの実装をサポートします。安全なコンテナを確立することで、各国は保護された環境内で重要なアプリケーションとデータをホストできるようになり、データ主権を促進し、外部の脅威から保護できるようになります。このソリューションは、政府機関と重要なインフラストラクチャに信頼できるプラットフォームを提供し、デジタル時代の国家安全保障を促進します。 

ゼロトラスト SaaS: 組み込みのゼロトラスト原則を適用することで、クライアントのデータをプライベートに保ちながら、SaaS 変革を成功させます。 

機密データや規制要件を持つ顧客を対象としたスケーラブルなソリューションの提供を目指す SaaS プロバイダーとしての課題は、顧客データのセキュリティと機密性を損なうことなくクラウドベースのサービスを提供することにあります。 SaaS プロバイダーだけでなく、基盤となるクラウド インフラストラクチャからも機密情報にアクセスできないことをクライアントに保証するには、包括的なゼロ トラスト フレームワークの必要性が非常に重要になります。 

Red Hat OpenShift は、機密コンテナーで強化され、サービスとしてのゼロトラストと統合されており、プロバイダーの観点からゼロトラスト SaaS へのアプローチに革命をもたらします。このソリューションは、SaaS プロバイダー、クラウド プロバイダー、IaaS 管理者、および Kubernetes 管理者がクライアントのデータにゼロアクセスできるようにするのに役立ちます。 

クラウド環境内の異なるクラスター間に分離がないことは、コストの最適化に役立つだけでなく、運用効率の合理化にも役立ちます。同時に、各クラスターの名前空間内のポッド レベルでの分離によりセキュリティが強化され、認証監査の取り組みが軽減され、データの整合性に対する SaaS プロバイダーの取り組みが強化されます。 

さらに、マルチパーティ ゼロ トラストの実装により、クライアントとサードパーティ ISV は、基盤となるデータに直接アクセスすることなく、機密ワークロードをコンテナとして実行できます。この革新的なアプローチは、クライアントの厳しいセキュリティ要件を満たすだけでなく、SaaS プロバイダーを、機密データや規制上の制約を持つクライアントにスケーラブルでセキュリティが充実したソリューションを提供できる信頼できるパートナーとして位置づけます。 

IBM LinuxONE での IBM Secure Execution を使用した Confidential Compute の詳細については、こちらをご覧ください。