Genel bulutta veri güvenliği, 2000’li yılların ortalarında bilgi işlem ortamının ortaya çıkmasından bu yana bir endişe kaynağı olmuştur, ancak bulut sağlayıcıları hırsızlık korkularını yeni bir kavramla yatıştırmaktadır: gizli bilgi işlem.
Gizli bilgi işlem, donanım üzerinde, şifrelenmiş kodun korunduğu ve depolandığı, güvenilir yürütme ortamı olarak da adlandırılan yalıtılmış bir kasa oluşturmayı içerir. Kod, yalnızca kilidini açmak ve ardından şifresini çözmek için genellikle sayıların bir kombinasyonu olan doğru tuşlara sahip uygulamalar tarafından erişilebilir. Onay adı verilen bir işlem, yetkisiz tarafların verileri çalma veya çalma olasılığını en aza indirerek her şeyin doğru olduğunu doğrular.
Microsoft Azure’un baş teknoloji sorumlusu Mark Russinovich, şirketin Ekim ayında düzenlenen Ignite konferansında yayınlanan bir oturumda, gizli bilgi işlemin “veri korumasında en üst seviyeyi” sunduğunu söyledi.
“Donanım tarafından korunan yerleşim bölgesinin içinde olduğu için, dışarıdaki hiçbir şey bu verileri göremez veya kurcalayamaz” dedi. “Bu, sunucuya fiziksel erişimi olan kişileri, sunucu yöneticisini, hiper yöneticiyi ve bir uygulamanın yöneticisini içerir.”
Analistler, gizli bilgi işlemin şirketlerin büyük ölçüde veri gizliliğine ve güvenliğine dayanan iş yüklerini buluta geçirmesine olanak tanıdığını söylüyor. Sağlık ve finans gibi yüksek düzeyde düzenlemeye tabi sektörlerdeki şirketler, güvenlik duruşlarını korurken bulut hizmetlerine geçebilir.
Bulutlardaki Delikleri Casusluk
İlk günlerinden beri, bulut bilişimin fiyat ve esneklik açısından faydacı çekiciliği, güvenlik endişelerini büyük ölçüde boğdu. Teknoloji araştırma firması CCS Insight’ın bulut, altyapı ve kuantum bilişim baş analisti James Sanders, bulut bilişime yönelik en sesli eleştirinin, konuk iş yüklerinin ana sistemden tamamen izole edilemeyeceği için gizliliğin sağlanmasının imkansız olması ihtimali olduğunu söylüyor.
Sanders, “Ancak, 2018’de Spectre ve Meltdown güvenlik açıklarının ifşa edilmesi, kötü niyetli bir bulut kiracısının aynı ana bilgisayar sistemindeki diğer süreçlerin iş yüklerinden veri sızdırma potansiyelini gösterdi” diyor.
bu güvenlik açıkları güvenli yerleşim bölgeleri bırakarak bilgisayar korsanlarının gizli bilgilerine maruz kalır. İkiz saldırılar aynı zamanda, şifreli kodun yalnızca yetkili taraflarca erişilebilir olduğu ancak izole edilmiş yerleşim bölgeleri bırakmadığı daha geniş gizli bilgi işlem fikrini de beraberinde getirdi.
Tirias Research’ün baş analisti Steve Leibson, gizli bilgi işlemin kötü adamların sunuculara girmesini ve sırları çalmasını engellediğini söylüyor.
“Devlet destekli [attacks] en zor ve en karmaşık olanlardır” diyor ve ekliyor: “Bu noktada, kullanımdaki, hareket halindeki ve depolanan verileri gerçekten korumayı düşünmelisiniz. Her üç durumda da şifrelenmelidir.”
Gizli Bilgi İşlemin Silikonda Topraklanması
Leibson, gizli bilgi işlemin donanım üreticilerinin ve bulut sağlayıcılarının doğrudan işlemciler üzerinde değil, sanal makinelerdeki uygulamalar hakkında düşünme biçimini değiştirdiğini söylüyor.
“İşlemcileri çalıştırdığımızda, onaya ihtiyacımız yoktu çünkü kimse bir Xeon’u değiştirmeyecekti” diyor. “Ama sanal bir makine — bu sadece bir yazılımdır. Onu değiştirebilirsiniz. Onaylama, silikonun donanım işlemcileri için yaptığı gibi, yazılım makinelerine de aynı tür katılığı sağlamaya çalışıyor.”
Yonga üreticileri o zamandan beri çip tasarımında güvenlik öncelikli bir yaklaşım benimsedi ve bulut tekliflerine kadar indi. Geçen ay Google, Nvidia, Microsoft ve AMD ortaklaşa, verilerin korunabileceği ve güvenilebileceği çipler üzerinde güvenli bir katman oluşturmak için Caliptra adlı bir spesifikasyonu duyurdu. Spesifikasyon, önyükleme sektörünü korur, doğrulama katmanları sağlar ve aksaklık ve yan kanal saldırıları gibi geleneksel donanım korsanlığına karşı koruma sağlar. Caliptra, Open Compute Project ve Linux Foundation tarafından yönetilmektedir.
Google’da başkan yardımcısı ve teknik adam olan Parthasarathy Ranganathan, Caliptra ile “Gizli bilgi işlem ve bir çip (SoC) üzerindeki bir paket veya sistem düzeyinde çip düzeyinde onay gerektiren çeşitli kullanım durumlarında gelecekteki yenilikleri bekliyoruz”, diye yazdı. , içinde blog girişi Ekim ortasında gerçekleşen Google Cloud Next etkinliği sırasında yayınlandı.
Google’ın zaten OpenTitan adında, esas olarak önyükleme sektörünü korumaya odaklanan kendi gizli bilgi işlem teknolojisi var.
CCS Insight’tan Sanders, Microsoft’un gizli bilgi işlem konusundaki önceki çabalarının tüm ana bilgisayar sistemini korumak yerine kısmi yerleşimlere dayandığını söylüyor. Ancak bu ay şirket, AMD’nin bir sunucu işlemcisi olan Epyc’te oluşturulan teknolojiye dayalı gizli bilgi işlem özelliğine sahip Azure sanal makinelerini duyurdu. AMD’nin SNP-SEV’i, bir CPU veya GPU’ya yüklendiğinde verileri şifreler ve bu da işlenirken verileri korur.
Gerçek Dünya Uyumluluğuna Giden Yolu Temizleme
Analistler, şirketler için gizli bilgi işlemin, Avrupa’nın Genel Veri Koruma Yönetmeliği ve Amerika Birleşik Devletleri Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası gibi düzenlemelerin gerektirdiği şekilde verileri genel bulutta güvence altına alma yeteneği sunduğunu söylüyor.
Sanders, “Bulutta yönetici korumalı şifrelemenin mevcudiyeti, en uzun süre hizmet veren bulut karşıtı konuşma noktalarından birinin altını çiziyor, çünkü iş yüklerini bulut platformu operatöründen korumak, genel bulutun benimsenmesini engelleyen en büyük risk kaynağını etkin bir şekilde ortadan kaldırıyor” diyor.
AMD teknolojisi, bu yılın başlarında genel amaçlı sanal makinelerde ortaya çıktı, ancak Ignite’taki duyurular, teknolojiyi, bulutta yerel iş yükleri için ek güvenlik sağlayan Azure Kubernetes Hizmeti’ne genişletiyor. Azure’daki AMD teknolojisi, kendi aygıtını getir çalışma ortamlarında, uzaktan çalışma ve yoğun grafikli uygulamalarda kullanılmak üzere tasarlanmıştır.