Konfidentiella behållare med Red Hat OpenShift Container Platform och IBM® Secure Execution for Linux – IBM Blog

Hybridmoln har blivit dominerande strategi för företagsmolnstrategier, men det kommer med komplexitet och oro över integration, säkerhet och kompetens. För att komma till rätta med dessa problem använder branschen containerruntimemiljöer för att abstrahera bort infrastruktur. Red Hat OpenShift Container Platform (RH OCP) har uppstått som en ledande lösning för att stödja applikationsutvecklingens livscykel, tillhandahålla och hantera behållarbilder och arbetsbelastningar till en plattform för applikationer och ekosystem i behållare. RH OCP tillhandahåller en gemensam distributions-, kontroll- och hanteringsmiljö för arbetsbelastningar över en mångfald av infrastrukturer som ligger till grund för ett hybridmoln. 

Kort sagt, Red Hat OpenShift är ledande hybrid molnapplikationsplattform byggd på innovation med öppen källkod utformad för att bygga, distribuera och köra applikationer i stor skala, var du än vill. 

Hybridmoln tvingar också fram en betydande omprövning av hur man säkrar och skyddar data och tillgångar. Som sådan fortsätter branschen att gå bort från traditionella vallgravs- och slottstrategier mot noll förtroendebaserade arkitekturer som mikrosegmenterar miljöer för att minimera attackytor. 

Konfidentiell databehandling är en framväxande grundläggande förmåga som möjliggör skydd av data som används. Skydd av data-at-rest och data-in-motion har varit standardpraxis i branschen i decennier; Men med tillkomsten av hybrid och decentraliserad hantering av infrastruktur har det nu blivit absolut nödvändigt att skydda data som används på samma sätt. Mer specifikt använder konfidentiell datoranvändning hårdvarubaserade säkerhetsrika enklaver för att tillåta en hyresgäst att vara värd för arbetsbelastningar och data på opålitlig infrastruktur samtidigt som man säkerställer att deras arbetsbelastningar och data inte kan läsas eller ändras av någon med privilegierad tillgång till den infrastrukturen. Detta kallas vanligtvis teknisk garanti som kan sammanfattas beskrivas som en leverantör eller person kan inte komma åt dina uppgifter. Man kan jämföra teknisk försäkran mot den mer vanligt förekommande driftsförsäkran som ger den mindre garantin att en leverantör eller person endast lovar att de inte kommer åt din data, även om de tekniskt sett kunde. I takt med att äventyrade legitimationshot såväl som insiderhot har blivit ett dominerande orsaken till datasäkerhetsincidenter, har teknisk säkerhet blivit en prioritet för att säkra känsliga och reglerade arbetsbelastningar oavsett om de senare körs i traditionella lokaler eller i ett offentligt molndatacenter. 

IBM och RedHat har erkänt kravet på teknisk säkerhet i en hybridmolnplattform. De har arbetat som en del av Cloud Native Computing Foundation (CNCF) Konfidentiella behållare öppen källkod för att ta itu med detta problem och arbetar kontinuerligt tillsammans för att göra konfidentiell containerteknik tillgänglig. Den senare gifter sig med säkerhetsrik enklavteknik som t.ex IBM Secure Execution för Linux med Kubernetes-baserade OpenShift för att möjliggöra utplacering av behållare i säkrade kapslar, vilket ger alla fördelarna med en allestädes närvarande RH OCP-driftupplevelse samtidigt som den är utformad för att skydda en hyresgästs behållare från privilegierad användaråtkomst. Konfidentiella behållare går längre än tidigare ansträngningar för att lösa detta problem genom att isolera behållaren inte bara från infrastrukturadministratören utan också från Kubernetes-administratören. Detta ger hyresgästen det bästa av två världar där de till fullo kan utnyttja abstraktionen av en hanterad OpenShift för att utveckla-en gång-distribuera-var som helst samtidigt som de kan distribuera data och arbetsbelastningar med teknisk säkerhet i en helt privat och isolerad enklav även om sistnämnda är värd och hanteras på tredjepartsinfrastruktur.

IBM lägger ytterligare till ytterligare nollförtroendeprinciper utformade för att öka säkerheten och användarvänligheten med IBM Hyper Protect-plattform.

Denna unika förmåga är designad för arbetsbelastningar som har stark datasuveränitet, regulatoriska eller datasekretesskrav. 

Som sådana spelar konfidentiella behållare en nyckelroll i alla branscher som är konstruerade för att säkra data och främja innovation. Några exempel på användningsfall för att markera: 

Konfidentiell AI: utnyttja pålitlig AI och samtidigt säkerställa modellernas integritet och konfidentialitet för data 

Organisationer som använder AI-modeller stöter ofta på utmaningar relaterade till integriteten och säkerheten för de data som används för utbildning och integriteten hos själva AI-modellerna. Att skydda konfidentialiteten för proprietära algoritmer och känslig träningsdata är avgörande. I många fall måste flera parter samarbeta och dela känslig data eller modeller mellan varandra för att få värdefulla AI-baserade insikter. Å andra sidan måste den värdefulla data som behövs för att få dessa insikter förbli konfidentiell och får endast delas med vissa parter eller inga tredje parter alls. 

Så, finns det ett sätt att få insikter om värdefull data genom AI utan att behöva exponera datamängden eller AI-modellen (LLM, ML, DL) för en annan part? 

Red Hat OpenShift, bemyndigad av Confidential Containers baserade på IBM Secure Execution, tillhandahåller en konfidentiell AI-plattform. Detta skyddar både AI-modellen och utbildningsdata, vilket gör att organisationer kan distribuera modeller för maskininlärning utan att kompromissa med immateriella rättigheter eller avslöja känslig information. Genom att mildra attackvektorer genom säkerhetsrika behållare säkerställer Confidential Containers integriteten hos AI-modeller, vilket ökar förtroendet för AI-applikationer. 

Sjukvård: möjliggör hälsoteknik samtidigt som patientdata hålls privat 

Inom hälso- och sjukvården är skyddet av känsliga patientuppgifter av största vikt. Med det ökande antagandet av digitala hälsojournaler och samarbetsforskningsinitiativ finns det en växande oro för att skydda patientinformation från obehörig åtkomst och potentiella intrång. 

Red Hat OpenShift, som utnyttjar Confidential Containers, etablerar en säkerhetsrik enklav för vårdtillämpningar. Så att register och känslig medicinsk data krypteras och behandlas säkert, vilket skyddar mot dataläckor och obehörig åtkomst. Genom att skydda både koden och data kan hälso- och sjukvårdsorganisationer med säkerhet ta till sig digital transformation samtidigt som de behåller sina patienters integritet genom att använda tekniker som förbättrar dataintegriteten, såsom Confidential Compute. 

Detta är utformat för att möjliggöra flera användningsfall inom hälso- och sjukvårdsindustrin, varav ett är säkert flerpartssamarbete mellan olika institutioner som visas i följande exempel.  

Finansiella tjänster: förnya kundupplevelsen samtidigt som du håller känslig information säker och förblir kompatibel 

Finansiella institutioner möter ständiga hot mot deras kritiska data och finansiella transaktioner. Branschen kräver en säker infrastruktur som kan skydda känslig finansiell information, förhindra bedrägerier och säkerställa regelefterlevnad. 

Red Hat OpenShift med konfidentiella behållare ger en förstärkt miljö för applikationer för finansiella tjänster. Detta säkerställer att finansiella data och transaktioner bearbetas inom säkerhetsrika enklaver, vilket skyddar dem från externa hot. Genom att skydda kod och dataintegritet hjälper konfidentiella behållare på OpenShift finansiella institutioner att uppfylla stränga regulatoriska krav och förbättrar den övergripande säkerhetsställningen för deras digitala infrastruktur. 

Förbättra hantering av digitala rättigheter och skydd av immateriella rättigheter genom konfidentiell datorskyddad tokenisering 

I dagens digitala landskap utgör risken förknippad med stulna tokens eller obehörig undertecknande av motsvarande kontrakt, såsom immateriella rättigheter och digitala rättighetspoletter, betydande utmaningar. De potentiella ekonomiska förlusterna och hoten mot de digitala ekosystemens integritet kräver en robust lösning som går utöver konventionella säkerhetsåtgärder. 

Confidential compute erbjuder en praktisk lösning på riskerna förknippade med stulna tokens genom att integrera konfidentiell datorteknik i tokeniseringsprocessen, som är utformad för att etablera end-to-end-säkerhet. Detta tillvägagångssätt säkerställer att känslig verksamhet sker i en säker och isolerad miljö, vilket skyddar digitala tillgångars konfidentialitet och integritet under hela deras livscykel. Konfidentiell beräkning är konstruerad för att förhindra illvilliga aktörer från att dechiffrera eller manipulera känslig information även om de får tillgång till den underliggande infrastrukturen.  

Implementering av säkerhetsrika tokenplattformar genom konfidentiell beräkning ger påtagliga fördelar. Digitala rättighetsinnehavare kan hantera och tjäna pengar på sin immateriella egendom utan ständig oro för piratkopiering eller otillåten distribution. Intressenter i olika branscher får möjligheten att skapa, handla och genomdriva digitala kontrakt med ökat förtroende för säkerheten för sina tokeniserade tillgångar. Ekonomiska konsekvenser kopplade till tokenstöld minimeras avsevärt, vilket minskar risken för intäktsförlust på grund av piratkopiering eller förfalskning. Detta skyddar inte bara de ekonomiska intressena för innehållsskapare och distributörer utan främjar också ett mer pålitligt digitalt ekosystem. 

Sammanfattningsvis, antagandet av konfidentiell beräkning i tokeniseringsprocessen tar itu med den avgörande utmaningen med den växande uppsättningen användningsfall från finansiella tillgångar, fastigheter och till mycket större tokens som säkrar digitala rättigheter och immateriella rättigheter. Resultatet är en förändring mot mer säkerhetsrika tokenplattformar, vilket ger innehållsskapare, distributörer och konsumenter förtroende att engagera sig i digitala transaktioner samtidigt som man säkerställer den digitala ekonomins hållbara tillväxt och integritet. 

Ett exempel på växande användning av tokens är onlinespel. Integreringen av Confidential Compute i tokenisering skyddar tillgångar i spelet som virtuella valutor och föremål. Detta är utformat för att främja ökad säkerhet, minimera de ekonomiska riskerna och störningarna som orsakas av stulna tokens i det dynamiska landskapet av onlinespel. 

Sovereign cloud: förbättra datasäkerheten för att möjliggöra datasekretess och suveränitet 

Nationell säkerhet och datasuveränitet driver behovet av en säker hybridmolninfrastruktur som är utformad för att säkerställa att kritisk data och applikationer inte är föremål för obehörig åtkomst eller utländsk jurisdiktion. 

Red Hat OpenShift, med konfidentiella containerfunktioner, stöder implementeringen av suveräna moln. Genom att etablera säkra behållare gör det det möjligt för nationer att vara värd för viktiga applikationer och data i en skyddad miljö, vilket främjar datasuveränitet och skyddar mot externa hot. Denna lösning ger en pålitlig plattform för statliga myndigheter och kritisk infrastruktur, vilket främjar nationell säkerhet i den digitala tidsåldern. 

Zero Trust SaaS: lyckas med din SaaS-transformation samtidigt som du håller din kunds data privat genom att tillämpa inbyggda nollförtroendeprinciper 

Som en SaaS-leverantör som strävar efter att erbjuda skalbara lösningar för att inrikta sig på kunder med känsliga data eller regulatoriska krav, ligger utmaningen i att tillhandahålla molnbaserade tjänster utan att kompromissa med säkerheten och konfidentialiteten för klienternas data. Behovet av ett omfattande Zero Trust-ramverk blir avgörande för att försäkra kunderna om att deras känsliga information förblir otillgänglig, inte bara av SaaS-leverantören utan också av den underliggande molninfrastrukturen. 

Red Hat OpenShift, förstärkt med konfidentiella behållare och integrerat med Zero Trust som en tjänst, revolutionerar inställningen till Zero Trust SaaS ur leverantörens synvinkel. Denna lösning hjälper till att SaaS-leverantören, molnleverantören, IaaS Admin och Kubernetes Admin har noll åtkomst till klienters data. 

Frånvaron av isolering mellan olika kluster inom molnmiljön hjälper inte bara till att optimera kostnaderna utan effektiviserar också den operativa effektiviteten. Samtidigt ökar isoleringen på podnivå inom varje klusters namnutrymme säkerheten, vilket bidrar till minskade certifieringsrevisionsinsatser och förstärker SaaS-leverantörens engagemang för dataintegritet. 

Dessutom tillåter implementeringen av flerparts Zero Trust kunder och 4:e parts ISV:er att köra konfidentiella arbetsbelastningar som behållare utan direkt åtkomst till underliggande data. Detta innovativa tillvägagångssätt möter inte bara kundernas stränga säkerhetskrav utan positionerar också SaaS-leverantören som en pålitlig partner som kan leverera skalbara och säkerhetsrika lösningar för kunder med känsliga data eller regulatoriska begränsningar. 

Läs mer om Confidential Compute med IBM Secure Execution på IBM LinuxONE