:quality(80)/p7i.vogel.de/wcms/5a/3e/5a3ea5c6a632de1f3f9df7327701c894/0115656714.jpeg "Christian Schubert, Senior Management Mainframe bei Beta Systems, und Prof. Dr. Martin Bogdan, Universität Leipzig. (Bild: Beta Systems Software AG)")
:quality(80)/p7i.vogel.de/wcms/78/c8/78c8f9d132f4cf8874cef670c5ef9f19/0115645808.jpeg "Carlo Ruiz von Nvidia erläutert, warum es 'Green Computing' braucht. (Bild: frei lizenziert: PoblicDomainPictures )")
:quality(80)/p7i.vogel.de/wcms/6b/f1/6bf170e20111b75076fba90d878437d2/0115603552.jpeg "Der Augsburger Verkabelungsspezialist Rosenberger OSI baut seine „Preconnect-Octo“-Produktreihe weiter aus. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/c2/8a/c28a3e2b1e5a668e85a60ab1513f0505/0114961639.jpeg "Alle Gewinner der diesjährigen 'DataCenter-Insider-Awards' plus Ulrike Ostler Chefredakteurin DataCenter-Insider (l.) und Moderatorin Margit Lieverz. Das gesamte Redaktionsteam bedankt sich herzlich bei allen, die abgestimmt und bei allen, die den Gala-Abend unvergesslich gemacht haben. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/51/6b/516b6a7be304ba9862e972c6e11c9fec/0114109625.jpeg "DataCenter-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/65/60/65602876c033df1483cf3bac1f7e6fe4/0115463754.jpeg "(Bild: Pixabay/Survivor)")
:quality(80)/p7i.vogel.de/wcms/39/5e/395e9e412ed7fd5fae0b1a5c5dc43fdb/0115512869.jpeg "Statt Finanzbilanz sollen Unternehmen auch mithilfe von „SAP Green Ledger“ eine Bilanz aus ihren Umweltdaten erstellen (können) - jedenfalls, wenn sie das in der Cloud erledigen. (Bild: megaflopp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/54/4f54a2b3b6a57d8ebe3bae525ae3ec3b/0115462631.jpeg "(Bild: frei lizenziert: SGL Carbon)")
:quality(80)/p7i.vogel.de/wcms/02/1e/021e6ed28a6b90e2271c77d266230fa1/0115627535.jpeg "Im schönen Amsterdam verfügt Nlighten nun über ein Rechenzentrum und nimmt damit den niederländischen Markt ins Visier. (Bild: frei lizenziert: Max van den Oetelaar)")
:quality(80)/p7i.vogel.de/wcms/69/cc/69cc870a79b0fc5569c23fc533f87e88/0115492438.jpeg "Der Rechenzentrumscontainer in Massivholz; gegenüber einem Stahlcontainer punktet er mit weniger Umweltbelastung im Verhältnis 3 zu1. Übrigens: Brennen tut das Rechenzentrumsmodul „Timbermod“ auch nicht. (Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/bc/bc/bcbc6294a9380f55b19548522a63c462/0115460147.jpeg "Der Stammsitz des Unternehmens Technotrans SE ist in Sassenberg. (Bild: Technotrans SE)")
:quality(80)/p7i.vogel.de/wcms/27/5e/275e02a9d45e13737df434ce78225139/0115293991.jpeg "„Die Zukunft der Primärenergieversorgung von Großrechenzentren liegt in der Modularität und in Microgrids“, sagt Dieter Tolsdorf, Sales Director DACH bei der Piller Germany GmbH & Co. KG.
(Bild: Shooting Star Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/46/c8460f61053514b1580bb2d2f2f46616/0115521215.jpeg "Das Release „2023.11.1“ von grommunio führt einen Open-Source-Rewrite der „Exchange Web Services“ ein. (Bild: grommunio)")
:quality(80)/p7i.vogel.de/wcms/45/ff/45ff4f909820bca4c8b105f142dc94db/0115464525.jpeg "Stierhatz oder das Lasso und die Leine in der Hand? Das abgebildete Monumento al Encierro von Rafael Huerta steht im Pamplona. (Bild: frei lizenziert: Soli Darnos )")
:quality(80)/p7i.vogel.de/wcms/89/ef/89ef97d1fbcf81f933003232a6ff1233/0115517736.jpeg "Martina Klement (l.) und Anne Lolas bei der offiziellen Eröffnung des Open-Source-Kompetenzzentrums. (© ITDZ Berlin)")
:quality(80)/p7i.vogel.de/wcms/88/d8/88d81311573992439c44e180221cded3/0115655693.jpeg "Wie vernetzt man Unternehmen mit der Cloud, Clouds untereinander, Edges untereinander und Edges mit Clouds sowie Künstliche Intelligenz und bereitet sich aufs Quantencomputing vor? (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/6a/71/6a719705d82bece19d7e6a88d3823b4d/0115517608.jpeg "Klare Strukturen ist oftmals das, was sich an der Edge nicht bietet. Zededa kombiniert Edge-Computing mit Native-Cloud-Technik und will damit gleichermaßen aufräumen. (Bild: frei lizenziert: Александра Туркина )")
:quality(80)/p7i.vogel.de/wcms/5b/ff/5bffbf2a137dce17847abf0e3818e366/0115281807.jpeg "Die Voraussagen in Glückskeksen passen immer - irgendwie. Fundierter sind die von Dr. Thomas King, CTO der Internet-Knoten DE-CIX. (Bild: frei lizenziert: Nicole Köhler)")
:quality(80)/p7i.vogel.de/wcms/ef/67/ef67f622c22b1029695dad658d96b2e5/0115203650.jpeg "Das Testbild aus den Anfängen des Farbfernsehens, Das so genannte FuBK-Testbild wurde laut Wikipedia n Deutschland gegen Ende 1973 eingeführt; FuBK steht für Funkbetriebskommission nach dem Pflichtenheft der ARD. Auf den Seiten unseres Portals war in den vergangenen Tagen nicht einmal ein solches zu sehen. (Bild: frei lizenziert: Christian Dorn)")
:quality(80)/p7i.vogel.de/wcms/59/4a/594a71a568c3aa0406c2b8cad5263f87/0115598489.jpeg "Das Proxmox Virtual Environment erhält in Version 8.1 unter anderem Support für Secure Boot und Software-defined Networking. (Bild: Proxmox)")
:quality(80)/p7i.vogel.de/wcms/46/94/4694ad5b534cf05843ecf35b6643addc/0115514944.jpeg "Schon beim Aufspannen der Fäden liegt beim Weben das Design des Stoffs fest; ähnlich müssen Multicloud-anstrebende Unternehmen vorgehen, wenn sie sich Cloud-Computing nutzbar und das Design nicht nachträglich, an der Oberffläche und wenig gebrauchsfreundlich aufdrucken wollen. (Bild: frei lizenziert: DavidJConelli)")
:quality(80)/p7i.vogel.de/wcms/f1/5f/f15f8d985e7f046a0894341ec8790609/0115366023.jpeg "Die ARM-Chips von Ampere Computing sind bei den großen Cloud-Anbietern wie Google, AWS und Oracle längst im Einsatz. Nun will auch Scaleway damit punkten - bei KI-Inferenz-Angeboten. (Bild: Ampere Computing)")
:quality(80)/p7i.vogel.de/wcms/f0/e1/f0e1b550e76d395594b7ca1a050a597a/0114825555.jpeg "Vast Data ud Cerebras haben bereits zusammengearbeitet und können auf erfolgreiche Projekte verweisen: Dazu gehört der kürzlich angekündigte Supercomputer „Condor Galaxy“, der in Zusammenarbeit mit G42 Cloud aufgebaut wurde und jetzt Teil von Core42 ist und speziell KI-Lasten verarbeitet. (Bild: ©2022 Cerebras Systems Inc.)")
:quality(80)/p7i.vogel.de/wcms/5e/ca/5eca30effe330bc9791334e10f372633/0113847116.jpeg "Pang Xin, Vice President der Huawei Data Storage Production Line (l.), und Frank Hua, Vice President für Automotive- und Industriedienstleistungen bei Dekra China, bei der offiziellen Verkündung der Zertifizierungen. (Bild: Huawei)")
:quality(80)/p7i.vogel.de/wcms/19/c3/19c359f249da0701360715edec5a000d/0113792109.jpeg "Computergenerierte Daten in DNA speichern? Ja, das geht, ist aber teuer. (Bild: frei lizenziert: Placidplace)")
:quality(80)/p7i.vogel.de/wcms/19/f2/19f29ccf47d713dcb42526d3dafc4bad/0113770470.jpeg "Der „Storage SuperServer SSG-221E-NE324R“ von Supermicro: Das ist ein
Dual Socket E (LGA-4677)-Rechner, der mit der 4. Generation des Intel-Prozessors „Xeon Scalable“ ausgestattet ist. Er fasst 32 DIMM Slots.
(Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/b2/03/b20330de29b22c6c515b4b2eb79f0dfe/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/e0/d8/e0d8d6e56b512a7dd3494875dfd620cd/0115069313.jpeg "Die Ära der Quantencomputer scheint zum Greifen nah. Höchste Zeit also, sich mit den bevorstehenden Risiken für die IT-Sicherheit zu befassen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/2f/642f92f4440c07ddac2b4db9ef8f0386/0115033934.jpeg "Zu den technischen Möglichkeiten und Restriktionen für die Gebäude-Automation von Rechenzentren kommen gesetzliche hinzu wie auch Normen. (Bild: frei lizenziert: RavindraPanwar)")
:quality(80)/p7i.vogel.de/wcms/cd/c3/cdc3f7ee22bada55cff0b0fddfdb196c/0115326186.jpeg "„... und wir werden erleben, wie die Leistung von Algorithmen die ihrer Schöpfer übertrifft“, sagt ikhil Malhotra ist Global Head des Makers Lab, einem 'Thin-Q-Bator'-Raum von Tech Mahindra. (Bild: frei lizenziert: deselect )")
:quality(80)/p7i.vogel.de/wcms/46/92/46922439ef659b323d111e056529c79b/0115077772.jpeg "Das Hightech-Unternehmen Quantum Machines zieht es zu Spätzle und Maultschen. (Bild: Q.M Technologies Ltd.)")
:quality(80)/p7i.vogel.de/wcms/3d/be/3dbe66bf152104556edc50b22d6c61b2/0115026945.jpeg "Quantencomputerplattform der nächsten Generation: Atom Computing hat ein atomares Array mit 1.225 Plätzen entwickelt, das derzeit mit 1.180 Qubits bestückt ist. (Bild: Atom Computing)")
:quality(80)/p7i.vogel.de/wcms/f3/da/f3dacd38e5834ae3f3c9d0a4bc9664d3/0113348475.jpeg "Das vom Umweltbundesamt beauftragte Projekt „Public Energy Efficiency Register of Data Centres “ (PeerDC), ist nach Einschätzung der Beteiligten Marina Köhn (UBA), Peter Radgen (IER Uni Stuttgart) und Felix Behrens (Öko-Institut e.V.) ein Erfolg auf ganzer Linie. Das sah DataCenter-Chefredakteurin Ulrike Ostler nach dem DataCenter-Diaries Podcast #16 nicht ganz so rosa. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f5/90f56ec6cb3ddbdabca2162fd5477836/0113078524.jpeg "(Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Vertrauen bauen durch Sicherheitsenklaven Was ist Confidential Computing?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Das Grundproblem der Datensicherheit lässt sich in einem Satz zusammenfassen: Computer sind immer noch nicht vertrauenswürdig genug. Doch jetzt gibt es 'Confidential Computing'. Was ist das? Was ändert sich?
In den vergangenen Jahren hat die Relevanz von großen Datenmengen enorm zugenommen. Die systematische Auswertung von Daten und daraus entstehende Erkenntnisgewinne sind zentrale Treiber des Fortschritts in fast allen Branchen und Unternehmensteilen. Dadurch gewinnt auch das Thema Datensicherheit immer mehr an Bedeutung, sowohl durch gesetzliche Regelungen wie die DSGVO als auch durch unternehmensinterne Anforderungen an die Geheimhaltung sensibler Geschäftsdaten.
Kunden vertrauen Unternehmen ihre Daten nicht an und Unternehmen vertrauen der Cloud nicht, wenn es um prekäre Daten geht. Der tiefergehende Grund hierfür ist, dass aktuelle Compute Stacks so aussehen wie der unten abgebildete.
Apps werden auf Betriebssystemen bereitgestellt, welche auf Hypervisoren laufen, die wiederum auf Hardware laufen, die von Menschen installiert und verwaltet wird. Bei der Nutzung herkömmlicher Sicherheitstechnologien muss diesem gesamten Stack vertraut werden. Dies führt zu einer erheblichen Angriffsfläche, die in Abbildung 1 rot dargestellt ist. Im Grunde kann auf jeder Ebene dieses Stacks ein Angriff stattfinden, auch beim Administrator des Systems.
Die Lösung: Confidential Computing
Bei Confidential Computing geht es um den revolutionären Ansatz, Daten in sicheren Enklaven zu verarbeiten. Einfach ausgedrückt ist eine Enklave eine von der Hardware bereitgestellte, vertrauenswürdige Laufzeitumgebung (englisch: Trusted Execution Environment, TEE), in die der entsprechende Code geladen werden kann.
Dadurch können beispielsweise Systemadministratoren Daten und Code isoliert ausführen und Daten verarbeiten, ohne Zugriff oder Manipulation von außen befürchten zu müssen. Die Angriffsfläche wird drastisch reduziert, was wiederum das benötigte Vertrauen in den eigenen Code und die Hardware, die die Enklave erstellt, senkt.
Die zentralen Eigenschaften von Confidential Computing
Enklaven sind auf vielen modernen CPUs verfügbar und können dynamisch erstellt werden, um eine vertrauenswürdige Systemumgebung zu schaffen. Programmierer können beispielsweise über die CPU eine Enklave mit normalen CPU-Anweisungen erstellen und dann ein beliebiges Programm in die sichere Enklave laden. Solche Enklaven haben vier zentrale Sicherheitseigenschaften:
- 1. Isolation: Enklaven agieren unabhängig vom Rest des Systems. Keine andere Systemkomponente außer der CPU kann auf die Enklave zugreifen - weder das Betriebssystem, noch der Hypervisor, noch eine andere Hardwarekomponente.
- 2. Runtime Memory-Encryption: Diese Eigenschaft schreibt vor, dass alles, was innerhalb einer Enklave gespeichert und verarbeitet wird, zu jeder Zeit im Speicher verschlüsselt wird. Selbst während der Verarbeitung.
- 3. Versiegelung: Die Versiegelung ermöglicht einer Enklave die sichere Speicherung von Daten auf einem ansonsten nicht vertrauenswürdigen System.
- 4. Remote-Attestation: Enklaven können der Gegenseite beweisen, dass sie tatsächlich auf sicherer Hardware laufen.
Diese vier zentralen Eigenschaften sind bereits in verschiedenen Hardware-Ausführungen erhältlich, von denen „Intel SGX“ die wohl bekannteste ist. Intel SGX war die erste echte Implementierung von sicheren Enklaven bei handelsüblichen CPUs. Einige Jahre später wurde „AMD SEV“ eingeführt und erst kürzlich hat Apple den „M1“-Chip mit 'Secure Enclave'-Funktionalität angekündigt.
Es gibt auch andere, weniger aktuelle Ansätze wie „ARM Trustzone“, Hardware Security Modules (HSMs) oder Trusted Platform Modules (TPMs). Diese Technologien haben typischerweise eine oder zwei der definierenden Eigenschaften. Die hier aufgeführte Definition von Confidential Computing erfordert die Erfüllung aller vier Eigenschaften.
Abstrakt formuliert kann man sich eine Enklave auch als Hochsicherheits-Blackbox vorstellen, der man sowohl Code als auch Daten übergeben kann. Die Blackbox verarbeitet diese Daten mithilfe des Codes und liefert die Ergebnisse über eine sichere Verbindung. Als Nachweis dient ein Zertifikat, das genau besagt, dass die Ergebnisse mit besagten Daten und Code erzeugt wurden, während niemand sonst darauf zugreifen konnte.
Zusammenfassend lässt sich sagen, dass Confidential Computing gleichzeitig eine Verschlüsselung von Daten und Quellcode während der Datenverarbeitung sowie eine vollständige Verifizierbarkeit der sicheren Datenverarbeitung ermöglicht.
Chancen und Anwendungsfälle von Confidential Computing
Durch die aufgeführten Eigenschaften ist Confidential Computing in der Lage, Cloud Security nachhaltig zu verändern. Die Ausführung von Workloads in sicheren Enklaven ermöglicht völlig neue Sicherheitsstandards, die Sicherheitsverletzungen und Malware unterbinden und böswillige Insider oder Hacker fernhalten.
Für Cloud-Infrastrukturen bedeutet das, dass diese mithilfe von Confidential Computing die Vorteile von On-Prem-Angeboten erreichen. Solange die Verarbeitung über sichere Enklaven stattfindet, kann nicht einmal der Cloud-Provider auf Daten oder Code zugreifen. Somit ist ein blindes Vertrauen des Nutzers gegenüber dem Provider nicht mehr notwendig. In den nächsten Jahren könnte im Bereich Cloud Security der primäre Anwendungsfall für Confidential Computing liegen und die Art und Weise verändern, wie Unternehmen ihre IT-Infrastruktur aufbauen.
Neben Cloud Security eröffnen sich auch in anderen Bereichen weitere spannende Anwendungen, die bislang nicht möglich waren. Zum Beispiel können zukünftig Daten analysiert werden, ohne jemals direkt darauf zuzugreifen und per Remote-Attestierung lässt sich beweisen, dass keine Einsicht in diese stattfand. Das könnte die Art und Weise verändern, wie Unternehmen Kundendaten verarbeiten, da sie die Privatsphäre ihrer Kunden bewahren und dies ebenso beweisen können.
Auch die Schaffung neuer Geschäftsmodelle ist möglich. Mithilfe der Sicherheitseigenschaften von Enklaven können Daten zukünftig von verschiedenen Parteien gemeinsam genutzt werden, ohne sie an die jeweilige Gegenseite weitergeben zu müssen. Dies ermöglicht eine kollaborative Datenverarbeitung unter der Prämisse, dass jede Partei nur auf die für sie vorgesehenen Ergebnisse zugreifen kann. Anwendungsfälle hierfür sind beispielsweise bei der Aggregation von Patientendaten verschiedener Krankenhäuser zur sicheren Auswertung der Patientendaten oder bei der Verarbeitung von Sensordaten zur Weiterentwicklung des autonomen Fahrens zu finden.
* Über den Autor
Dr.-Ing. Felix Schuster ist CEO von Edgeless Systems, einem Anbieter von Confidential-Computing-Software, mit Sitz in Bochum. Das Unternehmen setzt dabei auf Open-Source.
Vor der Gründung von Edgeless Systems arbeitete Schuster mehrere Jahre bei Microsoft Research, wo er sich als einer der ersten mit Confidential Computing beschäftigte. Sein 2015 veröffentlichtes Paper „VC3: Trustworthy data analytics in the cloud using SGX“ hat den Begriff 'Confidential-Computing' mitgeprägt.
Artikelfiles und Artikellinks
(ID:47475698)
:quality(80)/p7i.vogel.de/wcms/b4/be/b4befd65863d5b16ccd44c13589aea29/0111409422.jpeg "WebAssembly ermöglicht die Ausführung von Code auf verschiedenen Zielgeräten ohne plattformspezifische Anpassungen schneller und performanter als in Containern. Das macht die Laufband-Technologie sowohl für die Verabeitung an der Edge interessant als auch im Rechenzentrum. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/9d/fd9d988a82f21e686dbee6eac41acd46/0110234102.jpeg "Das Security Protocol Data Model (SPDM) ist quasi das Schweizer Messer für eine Plattformsicherheit im Rechenzentrum über verschiedene Komponententypen und Hersteller hinweg. (Bild: von PublicDomainPictures auf Pixabay)")