Конфиденциальные контейнеры с Red Hat OpenShift Container Platform и IBM® Secure Execution для Linux — блог IBM

Гибридное облако стало доминирующий подход к корпоративным облачным стратегиям, но это связано со сложностью и проблемами интеграции, безопасности и навыков. Чтобы решить эти проблемы, отрасль использует контейнерные среды выполнения для абстрагирования инфраструктуры. Контейнерная платформа Red Hat OpenShift (RH OCP) появился как ведущее решение для поддержки жизненного цикла разработки приложений, предоставления и управления образами контейнеров и рабочими нагрузками в платформу для контейнерных приложений и экосистемы. RH OCP предоставляет общую среду развертывания, контроля и управления для рабочих нагрузок в разнообразном наборе инфраструктур, лежащих в основе гибридного облака. 

Короче говоря, Red Hat OpenShift — это ведущая платформа гибридных облачных приложений основан на инновациях с открытым исходным кодом, предназначенных для создания, развертывания и запуска приложений в больших масштабах, где бы вы ни находились. 

Гибридное облако также заставляет серьезно переосмыслить способы защиты данных и активов. Таким образом, отрасль продолжает отходить от традиционных стратегий «рва и замка» к архитектурам с нулевым доверием, которые микросегментируют среду для минимизации поверхностей атак. 

Конфиденциальные вычисления — это новая фундаментальная возможность, которая обеспечивает защиту используемых данных. Защита данных в состоянии покоя и в движении является стандартной практикой в ​​отрасли на протяжении десятилетий; однако с появлением гибридного и децентрализованного управления инфраструктурой стало необходимо обеспечивать равную защиту используемых данных. В частности, конфиденциальные вычисления используют аппаратные анклавы с высоким уровнем безопасности, позволяющие арендатору размещать рабочие нагрузки и данные в ненадежной инфраструктуре, гарантируя при этом, что их рабочие нагрузки и данные не могут быть прочитаны или изменены кем-либо, имеющим привилегированный доступ к этой инфраструктуре. Обычно это называют техническим обеспечением, которое вкратце можно описать как поставщик или лицо не могут получить доступ к вашим данным. Можно противопоставить техническую гарантию более часто используемой эксплуатационной гарантии, которая обеспечивает меньшую гарантию того, что поставщик или лицо только обещает, что не получит доступа к вашим данным, хотя технически они могут это сделать.. Поскольку угрозы компрометации учетных данных, а также инсайдерские угрозы стали основная причина инцидентов, связанных с безопасностью данных, техническая гарантия стала приоритетом для защиты конфиденциальных и регулируемых рабочих нагрузок, независимо от того, выполняются ли последние в традиционных локальных или общедоступных облачных центрах обработки данных. 

IBM и RedHat признали необходимость технической гарантии гибридной облачной платформы. Они работали в рамках Cloud Native Computing Foundation (CNCF). Конфиденциальные контейнеры сообщество открытого исходного кода для решения этой проблемы и постоянно работаем вместе, чтобы сделать конфиденциальные контейнерные технологии доступными. Последний сочетает в себе защищенные анклавные технологии, такие как IBM Secure Execution для Linux с OpenShift на базе Kubernetes, позволяющим развертывать контейнеры в защищенных модулях, обеспечивая все преимущества повсеместного использования RH OCP, а также защищая контейнеры арендатора от доступа привилегированных пользователей. Конфиденциальные контейнеры выходят за рамки предыдущих попыток решить эту проблему, изолируя контейнер не только от администратора инфраструктуры, но и от администратора Kubernetes. Это дает арендатору лучшее из обоих миров, где он может в полной мере использовать абстракцию управляемого OpenShift для разработки в любом месте, одновременно имея возможность развертывать данные и рабочие нагрузки с технической гарантией в полностью частном и изолированном анклаве, даже если последний размещается и управляется в сторонней инфраструктуре.

IBM также добавляет дополнительные принципы нулевого доверия, призванные повысить безопасность и простоту использования с помощью Платформа IBM Hyper Protect.

Эта уникальная возможность предназначена для рабочих нагрузок, к которым предъявляются строгие требования к суверенитету данных, нормативным требованиям или конфиденциальности данных. 

Таким образом, конфиденциальные контейнеры играют ключевую роль во всех отраслях, призванных защищать данные и способствовать инновациям. Несколько примеров использования, на которые следует обратить внимание: 

Конфиденциальный ИИ: используйте надежный ИИ, обеспечивая при этом целостность моделей и конфиденциальность данных. 

Организации, использующие модели ИИ, часто сталкиваются с проблемами, связанными с конфиденциальностью и безопасностью данных, используемых для обучения, а также целостностью самих моделей ИИ. Защита конфиденциальности запатентованных алгоритмов и конфиденциальных данных обучения имеет решающее значение. Во многих случаях нескольким сторонам приходится сотрудничать и обмениваться конфиденциальными данными или моделями друг с другом, чтобы получить ценную информацию на основе искусственного интеллекта. С другой стороны, ценные данные, необходимые для получения такой информации, должны оставаться конфиденциальными, и их разрешается передавать только определенным сторонам или вообще никаким третьим лицам. 

Итак, есть ли способ получить представление о ценных данных с помощью ИИ без необходимости предоставлять набор данных или модель ИИ (LLM, ML, DL) другой стороне? 

Red Hat OpenShift на базе Confidential Containers на базе IBM Secure Execution предоставляет конфиденциальную платформу искусственного интеллекта. Это защищает как модель искусственного интеллекта, так и данные обучения, позволяя организациям развертывать модели машинного обучения без ущерба для интеллектуальной собственности и раскрытия конфиденциальной информации. Смягчая векторы атак с помощью защищенных контейнеров, конфиденциальные контейнеры обеспечивают целостность моделей ИИ, повышая доверие к приложениям ИИ. 

Здравоохранение: использование медицинских технологий при сохранении конфиденциальности данных пациентов 

В сфере здравоохранения защита конфиденциальных данных пациентов имеет первостепенное значение. С ростом внедрения цифровых медицинских записей и совместных исследовательских инициатив растет обеспокоенность по поводу защиты информации пациентов от несанкционированного доступа и потенциальных нарушений. 

Red Hat OpenShift, используя конфиденциальные контейнеры, создает защищенный анклав для приложений здравоохранения. Чтобы записи и конфиденциальные медицинские данные шифровались и надежно обрабатывались, защищая от утечек данных и несанкционированного доступа. Защищая как код, так и данные, организации здравоохранения могут уверенно осуществлять цифровую трансформацию, сохраняя при этом конфиденциальность своих пациентов, внедряя технологии повышения конфиденциальности данных, такие как Confidential Compute. 

Это предназначено для обеспечения нескольких вариантов использования в отрасли здравоохранения, один из которых — безопасное многостороннее сотрудничество между различными учреждениями, как показано в следующем примере.  

Финансовые услуги: улучшайте качество обслуживания клиентов, сохраняя при этом конфиденциальную информацию в безопасности и соблюдая нормативные требования. 

Финансовые учреждения сталкиваются с постоянными угрозами своим критически важным данным и финансовым транзакциям. Отрасли требуется безопасная инфраструктура, которая сможет защитить конфиденциальную финансовую информацию, предотвратить мошенничество и обеспечить соответствие нормативным требованиям. 

Red Hat OpenShift с конфиденциальными контейнерами обеспечивает защищенную среду для приложений финансовых услуг. Это гарантирует, что финансовые данные и транзакции обрабатываются в защищенных анклавах, защищая их от внешних угроз. Защищая целостность кода и данных, конфиденциальные контейнеры OpenShift помогают финансовым учреждениям соблюдать строгие нормативные требования и повышают общий уровень безопасности их цифровой инфраструктуры. 

Улучшение управления цифровыми правами и защиты интеллектуальной собственности посредством конфиденциальной токенизации с защитой вычислений. 

В сегодняшней цифровой среде риск, связанный с украденными токенами или несанкционированным подписанием соответствующих контрактов, таких как токены интеллектуальной собственности и цифровых прав, создает серьезные проблемы. Потенциальные финансовые потери и угрозы целостности цифровых экосистем требуют надежного решения, выходящего за рамки обычных мер безопасности. 

Конфиденциальные вычисления предлагают практическое решение рисков, связанных с украденными токенами, путем включения технологии конфиденциальных вычислений в процесс токенизации, который предназначен для обеспечения сквозной безопасности. Такой подход гарантирует, что конфиденциальные операции выполняются в безопасной и изолированной среде, обеспечивая конфиденциальность и целостность цифровых активов на протяжении всего их жизненного цикла. Конфиденциальные вычисления предназначены для предотвращения расшифровки или манипулирования конфиденциальной информацией злоумышленниками, даже если они получают доступ к базовой инфраструктуре.  

Внедрение защищенных платформ токенов посредством конфиденциальных вычислений дает ощутимые преимущества. Обладатели цифровых прав могут управлять своей интеллектуальной собственностью и монетизировать ее, не беспокоясь о пиратстве или несанкционированном распространении. Заинтересованные стороны в различных отраслях получают возможность создавать, торговать и обеспечивать соблюдение цифровых контрактов с большей уверенностью в безопасности своих токенизированных активов. Финансовые последствия, связанные с кражей токенов, значительно сведены к минимуму, что снижает риск потери доходов из-за пиратства или подделки. Это не только защищает экономические интересы создателей и распространителей контента, но и способствует созданию более надежной цифровой экосистемы. 

В заключение, внедрение конфиденциальных вычислений в процессе токенизации решает важнейшую проблему расширения набора вариантов использования от финансовых активов, недвижимости до гораздо более масштабных токенов, обеспечивающих цифровые права и интеллектуальную собственность. Результатом является переход к более защищенным платформам токенов, обеспечивающим создателям контента, дистрибьюторам и потребителям уверенность в участии в цифровых транзакциях, обеспечивая при этом устойчивый рост и целостность цифровой экономики. 

Одним из примеров растущего использования токенов являются онлайн-игры. Интеграция конфиденциальных вычислений в токенизацию защищает внутриигровые активы, такие как виртуальные валюты и предметы. Это призвано обеспечить повышенную безопасность, минимизировать финансовые риски и сбои, вызванные украденными токенами в динамичной среде онлайн-игр. 

Суверенное облако: повышение безопасности данных для обеспечения конфиденциальности и суверенитета данных 

Проблемы национальной безопасности и суверенитета данных вызывают необходимость в безопасной гибридной облачной инфраструктуре, предназначенной для обеспечения того, чтобы критически важные данные и приложения не подвергались несанкционированному доступу или иностранной юрисдикции. 

Red Hat OpenShift с возможностями конфиденциального контейнера поддерживает внедрение независимых облаков. Создавая безопасные контейнеры, он позволяет странам размещать критически важные приложения и данные в защищенной среде, обеспечивая суверенитет данных и защищая от внешних угроз. Это решение обеспечивает надежную платформу для государственных учреждений и критически важной инфраструктуры, способствуя национальной безопасности в эпоху цифровых технологий. 

SaaS с нулевым доверием: преуспейте в трансформации SaaS, сохраняя при этом конфиденциальность данных вашего клиента, применяя встроенные принципы нулевого доверия. 

Задача SaaS-провайдера, стремящегося предлагать масштабируемые решения для целевых клиентов с конфиденциальными данными или нормативными требованиями, заключается в предоставлении облачных услуг без ущерба для безопасности и конфиденциальности данных клиентов. Потребность во всеобъемлющей структуре нулевого доверия становится решающей, чтобы гарантировать клиентам, что их конфиденциальная информация остается недоступной не только для поставщика SaaS, но и для базовой облачной инфраструктуры. 

Red Hat OpenShift, усиленный конфиденциальными контейнерами и интегрированный с Zero Trust как услугой, революционизирует подход к Zero Trust SaaS с точки зрения провайдера. Это решение помогает провайдеру SaaS, облачному провайдеру, администратору IaaS и администратору Kubernetes не иметь доступа к данным клиентов. 

Отсутствие изоляции между различными кластерами в облачной среде не только помогает оптимизировать затраты, но и повышает эффективность работы. В то же время изоляция на уровне модулей в пространстве имен каждого кластера повышает безопасность, способствуя сокращению усилий по сертификационной проверке и усиливая приверженность поставщика SaaS обеспечению целостности данных. 

Более того, реализация многостороннего принципа нулевого доверия позволяет клиентам и сторонним независимым поставщикам программного обеспечения запускать конфиденциальные рабочие нагрузки в виде контейнеров без прямого доступа к базовым данным. Этот инновационный подход не только отвечает строгим требованиям безопасности клиентов, но и позиционирует поставщика SaaS как надежного партнера, способного предоставлять масштабируемые и надежные решения для клиентов с конфиденциальными данными или нормативными ограничениями. 

Узнайте больше о конфиденциальных вычислениях с IBM Secure Execution на IBM LinuxONE