Confidential Computing: hype of realiteit?

Het originele artikel is terug te vinden op Techzine:

Confidential computing: hype of realiteit?

09-06-2022 – door Tim Geerts, Consultant bij Info Support, & Elien Callens, Software Engineer bij Info Support.

Is confidential computing een hype? Een realiteit? Organisaties die data gebruiken, verwerken die met processoren. Dat houdt heel eenvoudig in dat deze door malafide gebruikers en software is uit te lezen. Wie confidential computing toepast, zorgt ervoor dat de uitgevoerde code te allen tijde beschermd is tegen aanpassingen of zelfs het lezen ervan.

In een sterk globaliserende wereld, tegelijkertijd een wereld waarin hackers steeds actiever zijn, kiezen steeds meer organisaties ervoor om strenge securitymaatregelen te nemen. In sommige sectoren nemen organisaties dat onderwerp extreem serieus. Denk hierbij aan overheden, maar ook aan instellingen binnen de zorg. De Vlaamse overheid is bijvoorbeeld inmiddels gestart met een confidential computing proof-of-concept.

Wat is confidential computing precies?

Confidential computing is de benaming voor het veilig maken van data tegen ongewenste invloeden van buitenaf. Intel omschreef het al eens als ‘handelingen die ervoor zorgen dat versleutelde data in het geheugen is te verwerken zonder dat er een blootstelling van de data is aan de rest van het in gebruik zijnde IT-systeem’. Wie kiest voor confidential computing, plaatst een stuk van de code in een ‘enclave’, een muur die om de code staat. Dankzij de sterk toenemende aandacht voor cloud computing neemt ook de interesse in confidential computing toe. De reden: data is beter te beschermen binnen een cloudomgeving dan binnen een on-premise situatie. Sommige brokjes data moeten daarbij koste wat kost afgeschermd blijven van kwaadwillenden, terwijl ze toch door vooraf bepaalde sleutelpersonen en met behulp van code zijn in te zien.

Sleutelrol voor confidential machine

Het aantal organisaties dat nu al volop met confidential computing bezig is, is nog beperkt. Het is een nichemarkt, maar wel een die vermoedelijk snel zal groeien. Wie er in de dagelijkse praktijk mee aan de slag gaat, zal gebruikmaken van een confidential machine. Dat is een machine waarin de data veilig staat opgeslagen. Als een organisatie met die specifieke data iets wil doen, moet het dat binnen die machine uitvoeren. Daarnaast zijn er verschillende niveaus waarop iemand iets met de data aan de slag kan, bijvoorbeeld op het niveau van het RAM- of CPU-geheugen.

Voor wie is confidential computing interessant?

Overheidsdiensten en zorginstellingen tonen duidelijk interesse in confidential computing. Zo zijn zorginstellingen op zoek naar manieren die zekerheid bieden over de controle op patiëntgegevens. Nu bestaat er nog de kans dat diverse mensen in zorgsystemen op zoek kunnen gaan naar data die niet voor hun ogen bestemd is, zoals informatie over wie wel of niet tegen COVID-19 is gevaccineerd. Enerzijds willen organisaties dat gegevens online staan en zijn in te zien, anderzijds willen ze de garantie dat alleen de juiste personen hier toegang toe hebben. Daarbij is er nog de uitdrukkelijke wens bij zorginstellingen dat bedrijven als Facebook niet bij persoonsgevoelige data kunnen.

Zijn er usecases?

De Vlaamse overheid is met een confidential computing proof-of-concept gestart. De instantie heeft aangegeven deels over te willen stappen naar de cloud, maar weet niet zeker of het Microsoft op alle vlakken kan vertrouwen. Niet dat het twijfelt aan de goede intenties van de leverancier, maar ook die heeft te maken met een op de achtergrond spelende Patriot Act. Deze wet stelt de Amerikaanse overheid onder andere in staat om informatie – dus ook confidentiële data – op te vragen in geval van mogelijk terrorisme. De Vlaamse overheid onderzoekt hoe deze vorm van computing kan leiden tot meer afschermmogelijkheden voor bijvoorbeeld beveiligingspersonen en defensiepersoneel. De overheid wil kunnen bepalen wie wel en geen toegang heeft tot de data en Microsoft hoort daar niet bij.

Van on-premise naar de cloud

De focus bij het werken op basis van confidential computing ligt op de cloud. Dat zou een trendbreuk betekenen met de huidige werkwijze waarbij vertrouwelijke data met behulp van een hostingpartner wordt beveiligd en dit dus on premises gebeurt. Bij een overstap naar de cloud ontstaan er nieuwe mogelijkheden. Dit zijn de belangrijkste voordelen van cloud ten opzichte van on premises:

  • Meer partners kunnen makkelijker samenwerken.
  • De confidential machine is eenvoudiger door andere partijen te laten beheren.
  • Piekbelasting in de cloud is minder voorkomend.
  • Een audit is automatisch en sneller uit te rollen
  • De TCO van een cloudplatform is lager

Hype of realiteit?

Een paar jaar geleden doken er voorbeelden op van data uit het ene softwareprogramma dat met behulp van CPU data uit een ander programma kon uitlezen. Op dit moment zorgen CPU-producenten, zoals Intel, ervoor dat dit niet meer mogelijk is. Toch is het zaak om alert te blijven en data te beschermen. Vertrouwelijke data moet veilig zijn, op alle plaatsen waar deze langskomt. Dus ook als deze een printerdriver passeert die te hacken is. Staat de data die je hiervoor gebruikt binnen de confidential machine, dan is deze veilig en alleen met de juiste code te gebruiken. Confidential computing is absoluut bezig aan een opmars, maar vergt ook meer kennis over CPU. Daarmee is het absoluut eerder een realiteit dan een hype.