Конфіденційні контейнери з Red Hat OpenShift Container Platform і IBM® Secure Execution for Linux – IBM Blog

Гібридна хмара стала домінуючий підхід для корпоративних хмарних стратегій, але це пов’язано зі складністю та проблемами щодо інтеграції, безпеки та навичок. Щоб вирішити ці проблеми, галузь використовує середовище виконання контейнерів для абстрагування інфраструктури. Контейнерна платформа Red Hat OpenShift (RH OCP) виник як a провідне рішення для підтримки життєвого циклу розробки додатків, надання та керування образами контейнерів і робочими навантаженнями на платформі для контейнерних додатків та екосистеми. RH OCP забезпечує спільне середовище розгортання, контролю та керування робочими навантаженнями в різноманітних інфраструктурах, які є основою гібридної хмари. 

Коротше кажучи, Red Hat OpenShift – це провідна платформа гібридних хмарних додатків заснований на інноваціях з відкритим вихідним кодом, призначених для створення, розгортання та запуску програм у великих масштабах, де б ви не хотіли. 

Гібридна хмара також змушує суттєво переглянути способи захисту та захисту даних і активів. Таким чином, індустрія продовжує відходити від традиційних стратегій типу «рів і замок» до архітектур, заснованих на нульовій довірі, які мікросегментують середовища для мінімізації поверхонь для атак. 

Конфіденційні обчислення це нова базова можливість, яка забезпечує захист даних у використанні. Захист даних у стані спокою та даних у русі був стандартною практикою в галузі протягом десятиліть; однак із появою гібридного та децентралізованого управління інфраструктурою стало обов’язковим захистити дані, що використовуються. Якщо говорити точніше, конфіденційні обчислення використовують анклави з високим рівнем безпеки на базі апаратного забезпечення, щоб дозволити орендареві розміщувати робочі навантаження та дані в ненадійній інфраструктурі, гарантуючи, що їхні робочі навантаження та дані не можуть бути прочитані чи змінені будь-ким із привілейованим доступом до цієї інфраструктури. Це зазвичай називають технічною гарантією, яку коротко можна описати як постачальник або особа не може отримати доступ до ваших даних. Можна порівняти технічну гарантію з більш широко використовуваною операційною гарантією, яка забезпечує меншу гарантію того, що постачальник або особа лише обіцяє, що не матиме доступу до ваших даних, хоча технічно міг би. Оскільки скомпрометовані облікові дані, а також інсайдерські загрози стали головна причина інцидентів безпеки данихтехнічна гарантія стала пріоритетом для забезпечення конфіденційних і регульованих робочих навантажень, незалежно від того, чи виконуються вони в традиційних локальних або публічних хмарних центрах обробки даних. 

IBM і RedHat визнали вимоги до технічної гарантії в гібридній хмарній платформі. Вони працювали в рамках Cloud Native Computing Foundation (CNCF) Конфіденційні контейнери спільнота з відкритим кодом, щоб вирішити цю проблему і постійно працюють разом, щоб зробити конфіденційні контейнерні технології доступними. Останній поєднує багатозахищені анклавні технології, такі як IBM Secure Execution for Linux з OpenShift на базі Kubernetes, щоб забезпечити розгортання контейнерів у захищених модулях, забезпечуючи всі переваги повсюдного досвіду роботи RH OCP, а також розроблений для захисту контейнерів орендаря від доступу привілейованих користувачів. Конфіденційні контейнери виходять за рамки попередніх спроб вирішення цієї проблеми, ізолюючи контейнер не лише від адміністратора інфраструктури, але й від адміністратора Kubernetes. Це надає орендареві найкраще з обох світів, де вони можуть повністю використовувати абстракцію керованого OpenShift для розробки, де розгортають один раз, маючи можливість розгортати дані та робочі навантаження з технічною гарантією в повністю приватному та ізольованому анклаві, навіть якщо останній розміщується та керується на сторонній інфраструктурі.

IBM додатково додає додаткові принципи нульової довіри, призначені для підвищення безпеки та простоти використання з Платформа IBM Hyper Protect.

Ця унікальна можливість розроблена для робочих навантажень, які мають суворі вимоги до суверенітету даних, нормативні вимоги або вимоги до конфіденційності даних. 

Таким чином, конфіденційні контейнери відіграють ключову роль у галузях промисловості, створених для захисту даних і сприяння інноваціям. Деякі приклади використання, щоб підкреслити: 

Конфіденційний ШІ: використовуйте надійний ШІ, забезпечуючи при цьому цілісність моделей і конфіденційність даних 

Організації, які використовують моделі ШІ, часто стикаються з проблемами, пов’язаними з конфіденційністю та безпекою даних, які використовуються для навчання, і цілісністю самих моделей ШІ. Захист конфіденційності власних алгоритмів і конфіденційних навчальних даних має вирішальне значення. У багатьох випадках кілька сторін повинні співпрацювати та обмінюватися конфіденційними даними або моделями між собою, щоб отримати цінну інформацію на основі ШІ. З іншого боку, цінні дані, необхідні для отримання такої інформації, мають залишатися конфіденційними, і ними можна ділитися лише з певними сторонами або взагалі не давати третім особам. 

Отже, чи є спосіб отримати інформацію про цінні дані за допомогою AI без необхідності надавати набір даних або модель AI (LLM, ML, DL) іншій стороні? 

Red Hat OpenShift на основі конфіденційних контейнерів на основі IBM Secure Execution забезпечує конфіденційну платформу ШІ. Це захищає як модель штучного інтелекту, так і навчальні дані, дозволяючи організаціям розгортати моделі машинного навчання без шкоди для інтелектуальної власності чи розкриття конфіденційної інформації. Пом’якшуючи вектори атак через надійні контейнери, конфіденційні контейнери забезпечують цілісність моделей ШІ, підвищуючи довіру до програм ШІ. 

Охорона здоров’я: використання медичних технологій, зберігаючи конфіденційність даних пацієнтів 

У галузі охорони здоров’я захист конфіденційних даних пацієнтів має першочергове значення. Зі все більшим впровадженням цифрових медичних записів і спільних дослідницьких ініціатив зростає занепокоєння щодо захисту інформації пацієнтів від несанкціонованого доступу та потенційних порушень. 

Red Hat OpenShift, використовуючи конфіденційні контейнери, створює надійний анклав для програм охорони здоров’я. Так що записи та конфіденційні медичні дані шифруються та безпечно обробляються, захищаючи від витоку даних і несанкціонованого доступу. Захищаючи як код, так і дані, організації охорони здоров’я можуть впевнено прийняти цифрову трансформацію, зберігаючи при цьому конфіденційність своїх пацієнтів, використовуючи технології підвищення конфіденційності даних, такі як Confidential Compute. 

Це розроблено для того, щоб забезпечити багато варіантів використання в галузі охорони здоров’я, одним із яких є безпечна багатостороння співпраця між різними установами, як показано в наступному прикладі.  

Фінансові послуги: інноваційний досвід роботи з клієнтами, зберігаючи конфіденційну інформацію та дотримуючись вимог 

Фінансові установи стикаються з постійними загрозами для своїх важливих даних і фінансових операцій. Галузь потребує безпечної інфраструктури, яка може захистити конфіденційну фінансову інформацію, запобігти шахрайству та забезпечити дотримання нормативних вимог. 

Red Hat OpenShift із конфіденційними контейнерами забезпечує укріплене середовище для програм фінансових послуг. Це гарантує, що фінансові дані та транзакції обробляються в захищених анклавах, захищаючи їх від зовнішніх загроз. Захищаючи код і цілісність даних, конфіденційні контейнери на OpenShift допомагають фінансовим установам відповідати суворим нормативним вимогам і підвищують загальну безпеку їхньої цифрової інфраструктури. 

Покращення управління цифровими правами та захисту інтелектуальної власності за допомогою конфіденційної токенізації, захищеної комп’ютером 

У сучасному цифровому ландшафті ризик, пов’язаний із викраденими токенами або неавторизованим підписанням відповідних контрактів, таких як інтелектуальна власність і токени цифрових прав, створює значні проблеми. Потенційні фінансові втрати та загрози цілісності цифрових екосистем вимагають надійного рішення, яке виходить за рамки традиційних заходів безпеки. 

Конфіденційні обчислення пропонують практичне вирішення ризиків, пов’язаних із вкраденими токенами, шляхом включення технології конфіденційних обчислень у процес токенізації, який призначений для встановлення наскрізної безпеки. Цей підхід гарантує, що конфіденційні операції відбуваються в безпечному та ізольованому середовищі, зберігаючи конфіденційність і цілісність цифрових активів протягом усього їх життєвого циклу. Конфіденційне обчислення розроблено таким чином, щоб запобігти зловмисникам розшифровувати або маніпулювати конфіденційною інформацією, навіть якщо вони отримують доступ до основної інфраструктури.  

Впровадження платформ маркерів із високим рівнем безпеки за допомогою конфіденційних обчислень забезпечує відчутні переваги. Власники цифрових прав можуть керувати своєю інтелектуальною власністю та монетизувати її, не турбуючись про піратство чи несанкціоноване розповсюдження. Зацікавлені сторони в різних галузях отримують можливість створювати, торгувати та виконувати цифрові контракти з підвищеною впевненістю в безпеці своїх токенізованих активів. Фінансові наслідки, пов’язані з крадіжкою токенів, значно мінімізовані, зменшуючи ризик втрати доходу через піратство чи підробку. Це не тільки захищає економічні інтереси творців і розповсюджувачів контенту, але й сприяє створенню більш надійної цифрової екосистеми. 

Підсумовуючи, запровадження конфіденційних обчислень у процесі токенізації вирішує важливу проблему розширення набору варіантів використання від фінансових активів, нерухомості та до набагато більш масштабних токенів, що забезпечують захист цифрових прав та інтелектуальної власності. Результатом є перехід до токен-платформ із більш високим рівнем безпеки, що забезпечує творцям контенту, розповсюджувачам і споживачам впевненість у здійсненні цифрових транзакцій, одночасно забезпечуючи стабільне зростання та цілісність цифрової економіки. 

Одним із прикладів зростання використання токенів є онлайн-ігри. Інтеграція конфіденційних обчислень у токенізацію захищає ігрові активи, такі як віртуальні валюти та предмети. Це створено для підвищення безпеки, мінімізації фінансових ризиків і збоїв, спричинених вкраденими токенами в динамічному середовищі онлайн-ігор. 

Суверенна хмара: підвищте безпеку даних, щоб забезпечити конфіденційність і суверенітет даних 

Занепокоєння національною безпекою та суверенітетом даних обумовлюють потребу в безпечній гібридній хмарній інфраструктурі, яка розроблена для того, щоб критично важливі дані та програми не підпадали під несанкціонований доступ або іноземну юрисдикцію. 

Red Hat OpenShift із можливостями конфіденційного контейнера підтримує реалізацію суверенних хмар. Встановлюючи захищені контейнери, він дозволяє країнам розміщувати критично важливі програми та дані в захищеному середовищі, сприяючи суверенітету даних і захищаючи від зовнішніх загроз. Це рішення забезпечує надійну платформу для державних установ і критичної інфраструктури, зміцнюючи національну безпеку в епоху цифрових технологій. 

Zero Trust SaaS: досягніть успіху в трансформації SaaS, зберігаючи конфіденційність даних вашого клієнта, застосовуючи вбудовані принципи нульової довіри 

Як постачальник SaaS, який прагне пропонувати масштабовані рішення для цільових клієнтів із конфіденційними даними або нормативними вимогами, завдання полягає в наданні хмарних послуг без шкоди для безпеки та конфіденційності даних клієнтів. Потреба у комплексній структурі Zero Trust стає надзвичайно важливою, щоб гарантувати клієнтам, що їх конфіденційна інформація залишається недоступною не лише для постачальника SaaS, але й для базової хмарної інфраструктури. 

Red Hat OpenShift, посилений конфіденційними контейнерами та інтегрований із Zero Trust як послугою, революціонізує підхід до Zero Trust SaaS з точки зору провайдера. Це рішення допомагає постачальнику SaaS, хмарному постачальнику, адміністратору IaaS і адміністратору Kubernetes мати нульовий доступ до даних клієнтів. 

Відсутність ізоляції між різними кластерами в хмарному середовищі не тільки допомагає оптимізувати витрати, але й оптимізує операційну ефективність. Одночасно ізоляція на рівні модуля в просторі імен кожного кластера підвищує безпеку, сприяючи скороченню зусиль з аудиту сертифікації та зміцненню зобов’язань постачальника SaaS щодо цілісності даних. 

Крім того, реалізація багатостороннього Zero Trust дозволяє клієнтам і постачальникам програмного забезпечення четвертої сторони запускати конфіденційні робочі навантаження як контейнери без прямого доступу до базових даних. Цей інноваційний підхід не тільки відповідає суворим вимогам безпеки клієнтів, але й позиціонує постачальника SaaS як надійного партнера, здатного надавати масштабовані та надійні рішення для клієнтів із конфіденційними даними або нормативними обмеженнями. 

Дізнайтеся більше про конфіденційне обчислення з IBM Secure Execution на IBM LinuxONE