Vùng chứa bí mật với Nền tảng vùng chứa OpenShift của Red Hat và Thực thi an toàn IBM® cho Linux – Blog IBM

Đám mây lai đã trở thành cách tiếp cận chủ đạo cho chiến lược đám mây doanh nghiệp, nhưng nó đi kèm với sự phức tạp và mối lo ngại về khả năng tích hợp, bảo mật và kỹ năng. Để giải quyết những lo ngại này, ngành đang sử dụng môi trường thời gian chạy container để loại bỏ cơ sở hạ tầng. Nền tảng vùng chứa OpenShift của Red Hat (RH OCP) đã nổi lên như một giải pháp hàng đầu để hỗ trợ vòng đời phát triển ứng dụng, cung cấp và quản lý hình ảnh và khối lượng công việc trong vùng chứa thành nền tảng cho các ứng dụng và hệ sinh thái được chứa trong vùng chứa. RH OCP cung cấp môi trường triển khai, kiểm soát và quản lý chung cho khối lượng công việc trên một tập hợp cơ sở hạ tầng đa dạng làm nền tảng cho đám mây lai. 

Tóm lại, Red Hat OpenShift là nền tảng ứng dụng đám mây lai hàng đầu được xây dựng dựa trên sự đổi mới nguồn mở được thiết kế để xây dựng, triển khai và chạy các ứng dụng ở quy mô lớn, ở bất cứ đâu bạn muốn. 

Đám mây lai cũng đang buộc phải xem xét lại đáng kể về cách bảo mật và bảo vệ dữ liệu cũng như tài sản. Do đó, ngành tiếp tục rời xa các chiến lược hào nước và lâu đài truyền thống hướng tới các kiến ​​trúc không dựa trên sự tin cậy mà môi trường phân đoạn vi mô nhằm giảm thiểu các bề mặt tấn công. 

Máy tính bí mật là một khả năng nền tảng mới nổi cho phép bảo vệ dữ liệu đang sử dụng. Việc bảo vệ dữ liệu ở trạng thái nghỉ và dữ liệu đang chuyển động đã là thông lệ tiêu chuẩn trong ngành trong nhiều thập kỷ; tuy nhiên, với sự ra đời của quản lý cơ sở hạ tầng kết hợp và phi tập trung, giờ đây việc bảo vệ dữ liệu đang sử dụng một cách bình đẳng đã trở nên cấp thiết. Cụ thể hơn, điện toán bí mật sử dụng các vùng bảo mật dựa trên phần cứng để cho phép đối tượng thuê lưu trữ khối lượng công việc và dữ liệu trên cơ sở hạ tầng không đáng tin cậy, đồng thời đảm bảo rằng khối lượng công việc và dữ liệu của họ không thể bị đọc hoặc sửa đổi bởi bất kỳ ai có quyền truy cập đặc quyền vào cơ sở hạ tầng đó. Điều này thường được gọi là đảm bảo kỹ thuật và có thể được mô tả tóm tắt là nhà cung cấp hoặc cá nhân không thể truy cập dữ liệu của bạn. Người ta có thể đối chiếu sự đảm bảo về mặt kỹ thuật với sự đảm bảo về hoạt động được sử dụng phổ biến hơn, cung cấp sự đảm bảo ít hơn rằng chỉ một nhà cung cấp hoặc cá nhân hứa rằng họ sẽ không truy cập dữ liệu của bạn, mặc dù về mặt kỹ thuật họ có thể. Khi các mối đe dọa về thông tin xác thực bị xâm phạm cũng như các mối đe dọa nội bộ đã trở thành một nguyên nhân chính gây ra sự cố bảo mật dữ liệu, đảm bảo kỹ thuật đã trở thành ưu tiên hàng đầu để đảm bảo khối lượng công việc nhạy cảm và được quản lý cho dù khối lượng công việc đó đang chạy trong cơ sở truyền thống hay trong trung tâm dữ liệu đám mây công cộng. 

IBM và RedHat đã công nhận yêu cầu đảm bảo kỹ thuật trong nền tảng đám mây lai. Họ đã làm việc như một phần của Tổ chức Điện toán Đám mây (CNCF) Thùng chứa bí mật cộng đồng nguồn mở để giải quyết mối quan ngại này và liên tục làm việc cùng nhau để cung cấp công nghệ container bí mật. Cái sau kết hôn với công nghệ bao quanh giàu bảo mật như Thực thi an toàn của IBM cho Linux với OpenShift dựa trên Kubernetes để cho phép triển khai các vùng chứa vào các nhóm bảo mật, cung cấp tất cả lợi thế của trải nghiệm vận hành RH OCP phổ biến, đồng thời được thiết kế để bảo vệ các vùng chứa của đối tượng thuê khỏi quyền truy cập đặc quyền của người dùng. Vùng chứa bí mật vượt xa những nỗ lực trước đây trong việc giải quyết vấn đề này bằng cách cách ly vùng chứa không chỉ với quản trị viên cơ sở hạ tầng mà còn với quản trị viên Kubernetes. Điều này mang lại cho người thuê những điều tốt nhất của cả hai thế giới, nơi họ có thể tận dụng tối đa tính trừu tượng của OpenShift được quản lý để phát triển một lần triển khai ở mọi nơi trong khi có thể triển khai dữ liệu và khối lượng công việc với sự đảm bảo về mặt kỹ thuật vào một vùng hoàn toàn riêng tư và biệt lập ngay cả khi sau này được lưu trữ và quản lý trên cơ sở hạ tầng của bên thứ ba.

IBM đang bổ sung thêm các nguyên tắc không tin cậy được thiết kế để tăng tính bảo mật và dễ sử dụng với Nền tảng siêu bảo vệ của IBM.

Khả năng độc đáo này được thiết kế cho khối lượng công việc có yêu cầu nghiêm ngặt về chủ quyền dữ liệu, quy định hoặc quyền riêng tư dữ liệu. 

Do đó, các thùng chứa bí mật đóng một vai trò quan trọng trong các ngành được thiết kế để bảo mật dữ liệu và thúc đẩy đổi mới. Một số trường hợp sử dụng ví dụ cần làm nổi bật: 

AI bí mật: tận dụng AI đáng tin cậy và đồng thời đảm bảo tính toàn vẹn của các mô hình và tính bảo mật của dữ liệu 

Các tổ chức tận dụng mô hình AI thường gặp phải những thách thức liên quan đến quyền riêng tư và bảo mật của dữ liệu được sử dụng để đào tạo cũng như tính toàn vẹn của chính các mô hình AI. Bảo vệ tính bảo mật của các thuật toán độc quyền và dữ liệu đào tạo nhạy cảm là rất quan trọng. Trong nhiều trường hợp, nhiều bên phải cộng tác và chia sẻ dữ liệu hoặc mô hình nhạy cảm với nhau để có được những hiểu biết sâu sắc có giá trị dựa trên AI. Mặt khác, dữ liệu có giá trị cần thiết để có được những hiểu biết đó phải được giữ bí mật và chỉ được phép chia sẻ với một số bên nhất định hoặc không được chia sẻ với bên thứ ba nào. 

Vì vậy, có cách nào để hiểu rõ hơn về dữ liệu có giá trị thông qua AI mà không cần tiết lộ tập dữ liệu hoặc mô hình AI (LLM, ML, DL) cho bên khác không? 

Red Hat OpenShift, được trao quyền bởi Bộ chứa bí mật dựa trên Thực thi an toàn của IBM, cung cấp nền tảng AI bí mật. Điều này bảo vệ cả mô hình AI và dữ liệu đào tạo, cho phép các tổ chức triển khai các mô hình học máy mà không ảnh hưởng đến sở hữu trí tuệ hoặc tiết lộ thông tin nhạy cảm. Bằng cách giảm thiểu các vectơ tấn công thông qua các vùng chứa giàu bảo mật, Vùng chứa bí mật đảm bảo tính toàn vẹn của các mô hình AI, nâng cao độ tin cậy trong các ứng dụng AI. 

Chăm sóc sức khỏe: kích hoạt công nghệ y tế trong khi vẫn giữ kín dữ liệu bệnh nhân 

Trong ngành chăm sóc sức khỏe, việc bảo vệ dữ liệu nhạy cảm của bệnh nhân là điều tối quan trọng. Với việc áp dụng hồ sơ y tế kỹ thuật số và các sáng kiến ​​nghiên cứu hợp tác ngày càng tăng, mối lo ngại ngày càng tăng về việc bảo mật thông tin bệnh nhân khỏi bị truy cập trái phép và các vi phạm tiềm ẩn. 

Red Hat OpenShift, tận dụng Vùng chứa bí mật, thiết lập một vùng có mức độ bảo mật cao cho các ứng dụng chăm sóc sức khỏe. Vì vậy, hồ sơ và dữ liệu y tế nhạy cảm được mã hóa và xử lý an toàn, bảo vệ khỏi rò rỉ dữ liệu và truy cập trái phép. Bằng cách bảo vệ cả mã và dữ liệu, các tổ chức chăm sóc sức khỏe có thể tự tin đón nhận quá trình chuyển đổi kỹ thuật số trong khi vẫn giữ được quyền riêng tư của bệnh nhân bằng cách áp dụng các công nghệ nâng cao quyền riêng tư về dữ liệu, chẳng hạn như Điện toán bí mật. 

Điều này được thiết kế để cho phép nhiều trường hợp sử dụng trong ngành chăm sóc sức khỏe, một trường hợp là sự hợp tác an toàn của nhiều bên giữa các tổ chức khác nhau như trong ví dụ sau.  

Dịch vụ tài chính: đổi mới trải nghiệm của khách hàng trong khi vẫn bảo mật thông tin nhạy cảm và luôn tuân thủ 

Các tổ chức tài chính phải đối mặt với các mối đe dọa thường xuyên đối với dữ liệu quan trọng và các giao dịch tài chính của họ. Ngành này yêu cầu một cơ sở hạ tầng an toàn có thể bảo vệ thông tin tài chính nhạy cảm, ngăn chặn gian lận và đảm bảo tuân thủ quy định. 

Red Hat OpenShift với các vùng chứa bí mật cung cấp một môi trường vững chắc cho các ứng dụng dịch vụ tài chính. Điều này đảm bảo rằng dữ liệu và giao dịch tài chính được xử lý trong khu vực có mức độ bảo mật cao, bảo vệ chúng khỏi các mối đe dọa từ bên ngoài. Bằng cách bảo vệ tính toàn vẹn của mã và dữ liệu, các vùng chứa bí mật trên OpenShift giúp các tổ chức tài chính đáp ứng các yêu cầu quy định nghiêm ngặt và nâng cao trạng thái bảo mật tổng thể của cơ sở hạ tầng kỹ thuật số của họ. 

Tăng cường quản lý quyền kỹ thuật số và bảo vệ sở hữu trí tuệ thông qua mã thông báo được bảo vệ bằng máy tính bí mật 

Trong bối cảnh kỹ thuật số ngày nay, rủi ro liên quan đến mã thông báo bị đánh cắp hoặc ký kết trái phép các hợp đồng tương ứng, chẳng hạn như quyền sở hữu trí tuệ và mã thông báo quyền kỹ thuật số, đặt ra những thách thức đáng kể. Những tổn thất tài chính tiềm tàng và các mối đe dọa đối với tính toàn vẹn của hệ sinh thái kỹ thuật số đòi hỏi một giải pháp mạnh mẽ vượt xa các biện pháp an ninh thông thường. 

Điện toán bí mật cung cấp giải pháp thiết thực cho các rủi ro liên quan đến mã thông báo bị đánh cắp bằng cách kết hợp công nghệ điện toán bí mật vào quy trình mã hóa, được thiết kế để thiết lập bảo mật từ đầu đến cuối. Cách tiếp cận này đảm bảo rằng các hoạt động nhạy cảm diễn ra trong một môi trường an toàn và biệt lập, bảo vệ tính bảo mật và tính toàn vẹn của tài sản kỹ thuật số trong suốt vòng đời của chúng. Điện toán bí mật được thiết kế để ngăn chặn các tác nhân độc hại giải mã hoặc thao túng thông tin nhạy cảm ngay cả khi chúng có quyền truy cập vào cơ sở hạ tầng cơ bản.  

Việc triển khai nền tảng mã thông báo giàu tính bảo mật thông qua điện toán bí mật mang lại lợi ích hữu hình. Chủ sở hữu quyền kỹ thuật số có thể quản lý và kiếm tiền từ tài sản trí tuệ của mình mà không phải lo lắng thường xuyên về vi phạm bản quyền hoặc phân phối trái phép. Các bên liên quan trong các ngành khác nhau có được khả năng tạo, giao dịch và thực thi các hợp đồng kỹ thuật số với sự tự tin ngày càng tăng về tính bảo mật của tài sản được mã hóa của họ. Các tác động tài chính liên quan đến hành vi trộm cắp mã thông báo được giảm thiểu đáng kể, giảm nguy cơ mất doanh thu do vi phạm bản quyền hoặc làm giả. Điều này không chỉ bảo vệ lợi ích kinh tế của người sáng tạo và nhà phân phối nội dung mà còn thúc đẩy một hệ sinh thái kỹ thuật số đáng tin cậy hơn. 

Tóm lại, việc áp dụng tính toán bí mật trong quy trình mã hóa giải quyết thách thức quan trọng của việc mở rộng tập hợp các trường hợp sử dụng từ tài sản tài chính, bất động sản và đến các mã thông báo quy mô lớn hơn nhiều để đảm bảo quyền kỹ thuật số và sở hữu trí tuệ. Kết quả là sự thay đổi hướng tới các nền tảng mã thông báo giàu bảo mật hơn, mang lại cho người tạo nội dung, nhà phân phối và người tiêu dùng sự tự tin để tham gia vào các giao dịch kỹ thuật số đồng thời đảm bảo sự tăng trưởng bền vững và tính toàn vẹn của nền kinh tế kỹ thuật số. 

Một ví dụ về việc sử dụng token ngày càng tăng là trò chơi trực tuyến. Việc tích hợp điện toán bí mật vào các biện pháp bảo vệ mã thông báo trong trò chơi như tiền ảo và vật phẩm. Điều này được thiết kế để tăng cường bảo mật, giảm thiểu rủi ro và gián đoạn tài chính do mã thông báo bị đánh cắp trong bối cảnh trò chơi trực tuyến năng động. 

Đám mây có chủ quyền: tăng cường bảo mật dữ liệu để đảm bảo quyền riêng tư và chủ quyền dữ liệu 

Những lo ngại về an ninh quốc gia và chủ quyền dữ liệu thúc đẩy nhu cầu về cơ sở hạ tầng đám mây lai an toàn được thiết kế để đảm bảo rằng các ứng dụng và dữ liệu quan trọng không bị truy cập trái phép hoặc quyền tài phán nước ngoài. 

Red Hat OpenShift, với khả năng chứa bí mật, hỗ trợ triển khai các đám mây có chủ quyền. Bằng cách thiết lập các vùng chứa an toàn, nó cho phép các quốc gia lưu trữ các ứng dụng và dữ liệu quan trọng trong môi trường được bảo vệ, thúc đẩy chủ quyền dữ liệu và bảo vệ khỏi các mối đe dọa từ bên ngoài. Giải pháp này cung cấp nền tảng đáng tin cậy cho các cơ quan chính phủ và cơ sở hạ tầng quan trọng, thúc đẩy an ninh quốc gia trong thời đại kỹ thuật số. 

Zero Trust SaaS: thành công trong quá trình chuyển đổi SaaS của bạn trong khi vẫn giữ dữ liệu khách hàng của bạn ở chế độ riêng tư bằng cách áp dụng các nguyên tắc không tin cậy được tích hợp sẵn 

Là nhà cung cấp SaaS nhằm cung cấp các giải pháp có thể mở rộng để nhắm mục tiêu đến những khách hàng có dữ liệu nhạy cảm hoặc có yêu cầu pháp lý, thách thức nằm ở việc cung cấp các dịch vụ dựa trên đám mây mà không ảnh hưởng đến tính bảo mật và bảo mật dữ liệu của khách hàng. Nhu cầu về một khuôn khổ Zero Trust toàn diện trở nên quan trọng để đảm bảo với khách hàng rằng thông tin nhạy cảm của họ vẫn không thể truy cập được, không chỉ bởi nhà cung cấp SaaS mà còn bởi cơ sở hạ tầng đám mây cơ bản. 

Red Hat OpenShift, được củng cố bằng các vùng chứa bí mật và được tích hợp với Zero Trust dưới dạng dịch vụ, đã cách mạng hóa cách tiếp cận Zero Trust SaaS theo quan điểm của nhà cung cấp. Giải pháp này giúp nhà cung cấp SaaS, nhà cung cấp đám mây, Quản trị viên IaaS và Quản trị viên Kubernetes không có quyền truy cập vào dữ liệu của khách hàng. 

Việc không có sự tách biệt giữa các cụm khác nhau trong môi trường đám mây không chỉ giúp tối ưu hóa chi phí mà còn hợp lý hóa hiệu quả hoạt động. Đồng thời, sự cô lập ở cấp độ nhóm trong không gian tên của mỗi cụm giúp tăng cường tính bảo mật, góp phần giảm nỗ lực kiểm tra chứng nhận và củng cố cam kết của nhà cung cấp SaaS về tính toàn vẹn dữ liệu. 

Hơn nữa, việc triển khai Zero Trust nhiều bên cho phép khách hàng và ISV bên thứ 4 chạy khối lượng công việc bí mật dưới dạng vùng chứa mà không cần truy cập trực tiếp vào dữ liệu cơ bản. Cách tiếp cận đổi mới này không chỉ đáp ứng các yêu cầu bảo mật nghiêm ngặt của khách hàng mà còn định vị nhà cung cấp SaaS là ​​đối tác đáng tin cậy có khả năng cung cấp các giải pháp có tính bảo mật cao và có thể mở rộng cho khách hàng có dữ liệu nhạy cảm hoặc các ràng buộc về quy định. 

Tìm hiểu thêm về Tính toán bí mật với IBM Secure Execution trên IBM LinuxONE