Cómputo confidencial Azure

Microsoft gasta mil millones de dólares al año en ciberseguridad y una buena parte de ese gasto va destinado a hacer de Microsoft Azure una plataforma de nube más confiable. Desde estricta seguridad física de centros de datos, asegurar la privacidad de los datos, encriptar los datos en reposo y en tránsito, nuevos usos de aprendizaje automático para detección de amenazas, y el uso estricto de controles operativos de ciclo de vida de desarrollo de software, Azure representa un avance en materia de seguridad y privacidad de nube.

En esta ocasión el anuncio es que Microsoft Azure ofrecerá nuevas capacidades de seguridad de datos con una colección de características y servicios llamados cómputo confidencial de Azure. De manera sencilla, el cómputo confidencial ofrece una protección que, a la fecha, no ha estado presente desde las nubes públicas, la encriptación de los datos mientras estos se encuentran en uso. Esto significa que los datos pueden ser procesados en la nube con la seguridad de que siempre están bajo el control del cliente. El equipo de Azure, junto con Microsoft Research, Intel, Windows, y el grupo de Herramientas para el Desarrollador (Developer Tools), han trabajado en tecnologías de software y hardware de cómputo confidencial por cerca de cuatro años.

Las brechas de seguridad en los datos son, de manera virtual, eventos noticiosos diarios, los atacantes obtienen acceso a información personal utilizable para identificación (PII, por sus siglas en inglés), datos financieros, y propiedad intelectual corporativa. Mientras muchas brechas son el resultado de un control de acceso con una pobre configuración, la mayoría pueden ser rastreadas hacia datos a los que se accede mientras están en uso, ya sea a través de cuentas administrativas, o al aprovechar llaves comprometidas para acceder a datos encriptados. A pesar de los avanzados controles y mitigaciones de ciberseguridad, algunos clientes se mantienen renuentes a mover sus datos más sensibles a la nube, por el miedo a ataques contra sus datos cuando estos se encuentran en uso. Con el cómputo confidencial, pueden mover los datos hacia Azure, con el conocimiento de que se encuentran seguros de las siguientes amenazas, no solo cuando están en reposo, también cuando están en uso:

  • Infiltrados maliciosos con privilegios administrativos o acceso directo a hardware en el que se han procesado
  • Hackers y malware que envían bugs al sistema operativo, aplicación o hipervisor
  • Terceros que acceden a los datos sin consentimiento

El cómputo confidencial asegura que cuando los datos se encuentran “a salvo”, lo cual es requerido para un procesamiento eficiente, los datos son protegidos dentro de un Trusted Execution Environment (TEE o Ambiente Confiable de Ejecución, también conocido como un enclave). TEE asegura que no haya manera de ver desde el exterior los datos o las operaciones internas, incluso si se utiliza un debugger. Se asegura de que sólo el código autorizado sea permitido para acceder a los datos. Si el código es alterado o manipulado, se niegan las operaciones y se deshabilita el ambiente. TEE refuerza esas protecciones a través de la ejecución del código dentro de él.

Introducing-Azure-confidential-computing-01

Con el cómputo confidencial de Azure, se desarrolló una plataforma que habilita a los desarrolladores para que aprovechen los diferentes TEE sin tener que cambiar su código. En principio, soporta dos TEE, Virtual Secure Mode e Intel SGX. Virtual Secure Mode (VSM, por sus siglas en inglés) es un TEE basado en software que es implementado por Hyper-V en Windows 10 y Windows Server 2016. Hyper-V previene que el código de administrador corra en la computadora o servidor, así como a los administradores locales y administradores de servicio de nube de ver los contenidos del enclave VSM o modificar su ejecución. También ofrecen TEE Intel SGX basado en hardware con servidores aptos para SGX en la nube pública. Los clientes que quieran que su modelo de confianza no incluya Azure o Microsoft en lo absoluto, pueden utilizar TEE SGX.

Microsoft ya utiliza enclaves para proteger desde operaciones financieras de blockchain, a datos almacenados en SQL Server, y la propia infraestructura dentro de Azure. Aunque, de manera previa, ya se ha hablado sobre el cómputo confidencial blockchain, conocido como Coco Framework, recientemente se anunció el uso de la misma tecnología para implementar encriptación en uso para Azure SQL Database y SQL Server. Esta es una mejora de la capacidad Always Encripted, que asegura que los datos sensibles dentro de una base de datos SQL pueda ser encriptada en todo momento sin comprometer la funcionalidad de las solicitudes SQL. Always Encrypted consigue lo anterior al delegar cómputos sobre datos sensibles a un enclave, donde los datos son desencriptados y procesados. La utilización de enclaves dentro de los productos y servicios de Microsoft sigue vigente para asegurar que donde sea que la información sensible necesite ser procesada, pueda ser asegurada mientras se encuentra en uso.

Junto con SQL Server, se observa una amplia aplicación de cómputo confidencial Azure a través de muchas industrias, entre las que se encuentran finanzas, salud, AI, y más. En finanzas, por ejemplo, los datos de portafolio personal y las estrategias de administración de patrimonio no serán ya visibles fuera de un TEE. Las organizaciones del cuidado de la salud pueden colaborar al compartir sus datos privados de pacientes, como secuencias genómicas, para obtener información de valor a partir de aprendizaje automático a través de múltiples conjuntos de datos sin el riesgo de que se filtren los datos a otras organizaciones. En la industria de los combustibles, y escenarios IoT, los datos sísmicos sensibles que representan la propiedad intelectual central de una corporación pueden ser trasladados a la nube para su procesamiento, pero con las protecciones de tecnología de encriptación en uso.

Los clientes pueden probar cómputo confidencial Azure a través del programa Early Access, que incluye acceso a Azure VSM y máquinas virtuales habilitadas para SGX, así como herramientas, SDK, y soporte para Windows y Linux para habilitar a cualquier aplicación en la nube para proteger los datos mientras se encuentran en uso.

Etiquetas
Mostrar más
Close