SecuStack: Tornando a Nuvem mais Segura

A SecuStack, com enclaves das Intel® Software Guard Extensions, leva a computação em nuvem habilitada por segurança para uma nova classe de usuários.

Visão geral:

  • A secunet Security Networks AG, uma empresa líder em segurança cibernética, e a Cloud & Heat Technologies GmbH, uma provedora de soluções de data center eficientes, escaláveis e seguras, criaram o SecuStack para trazer a computação em nuvem para setores que anteriormente não puderam adotá-la devido aos rigorosos regulamentos de segurança.

  • O SecuStack inclui mecanismos de criptografia integrados transparentemente que ajudam a proteger a transferência e o armazenamento de dados, além da integração dos enclaves das Intel® Software Guard Extensions (Intel® SGX) que ajudam a proteger os dados durante o processamento em um ambiente OpenStack.

author-image

Por

E se você pudesse usar serviços em nuvem públicos e ainda permanecer confiante de que seus dados — em movimento, em repouso, em uso — estejam totalmente sob seu controle? Isso é exatamente o que o SecuStack pretende alcançar, desbloqueando os benefícios da computação em nuvem para instituições governamentais e setores altamente regulamentados. Criado pela secunet Security Networks AG (a principal empresa de segurança cibernética da Alemanha) e a Cloud&Heat Technologies GmbH (uma provedora de soluções para data center eficientes, escaláveis e seguras), o SecuStack traz a computação em nuvem para vários setores que anteriormente não puderam adotá-la devido a rigorosos regulamentos de segurança ou a uma falta de confiança.

Desafio

A computação em nuvem oferece benefícios atraentes de custo, eficiência operacional e escalabilidade. No entanto, alguns setores, assim como instituições governamentais, não adotaram amplamente a computação em nuvem devido a preocupações com a segurança. Sem transparência na pilha do software, sem o controle total sobre seus dados, a computação em nuvem permanece fora do alcance para essas organizações.

Provedores

Oferecendo um sistema operacional (SO) em nuvem com segurança aprimorada, o SecuStack permite a operação no local ou em host confiável de uma solução em nuvem moderna por meio da Infraestrutura como um Serviço (IaaS). Ele oferece transparência para a funcionalidade da pilha do software, diferente de softwares comerciais ou muitos prestadores de serviços em nuvem (CSPs). O SecuStack inclui mecanismos de criptografia integrados transparentemente que ajudam a proteger a transferência e o armazenamento de dados, além da integração dos enclaves das Intel® Software Guard Extensions (Intel® SGX) que ajudam a proteger os dados durante o processamento em um ambiente OpenStack.

Resultados

Organizações com requisitos rigorosos para a conformidade de segurança podem agora aproveitar todos os benefícios da computação em nuvem. Isso inclui evitar despesas com infraestrutura, custos de manutenção reduzidos, maior eficiência operacional, escalabilidade e acesso às mais recentes inovações das tecnologias Intel® para alto desempenho.

Uma Necessidade de Transparência e Controle na Nuvem

A nuvem é um negócio como um serviço. Normalmente, os CSPs oferecem aos seus clientes serviços e interfaces de programação de aplicações (APIs), mas não oferecem software ou código fonte. Os consumidores de serviços em nuvem devem confiar no CSP que opera os servidores, controla a pilha do software e protege os dados dos clientes. A computação em nuvem pode oferecer uma variedade de benefícios, como eficiência e redução de custos, escalabilidade e recursos de recuperação de desastres.1 No entanto, a transparência completa e o controle sobre a segurança dos dados em repouso, em movimento e em uso é uma preocupação para muitas instituições e agências governamentais, e para setores privados altamente regulamentados, como provedores de serviços de utilidade pública e de saúde. Essas preocupações historicamente demonstraram ser uma barreira para a adoção dos serviços em nuvem para essas organizações. Sem transparência e controle sobre seus dados, essas organizações simplesmente não podem aproveitar serviços em nuvem externos. A proteção de dados aprimorada também permitirá que empresas usando recursos em nuvem computem seus dados de forma confidencial.

Soberania Digital na Nuvem

O SecuStack se beneficia dos processadores Intel® equipados com Intel® SGX, o que permite que serviços de infraestrutura críticos como gerenciamento de identidade, gerenciamento de chaves e serviços de rede privada virtual (VPN) sejam executados dentro de enclaves de aplicativo isolados. Os enclaves têm confidencialidade assistida por hardware e proteções de integridade adicionadas para ajudar a impedir o acesso de processos em níveis de privilégios mais altos. Por meio de serviços de atestação, uma parte confiante pode receber alguma verificação sobre a identidade de um enclave de aplicativo antes da inicialização. Com esses recursos, os aplicativos estão preparados para mais segurança. Com a ajuda da plataforma SCONE da Scontain, os serviços podem ser facilmente integrados e executados dentro dos enclaves da Intel® SGX. Funções como criptografia em tempo de execução transparente, gerenciamento de segredos e autorização podem ser integradas de forma conveniente. A combinação de enclaves da Intel® SGX e uma camada de infraestrutura reforçada com código aberto e protegida com criptografia oferece proteção avançada porque ajuda a aumentar a segurança e a soberania dos aplicativos e dados, assim como a integridade da camada de infraestrutura. Além da proteção da infraestrutura, o SecuStack também suporta aplicativos confidenciais nativos em nuvem. Os serviços de aplicativos podem ser executados dentro de enclaves da Intel® SGX executados em um cluster Kubernetes, por exemplo, (consulte a Figura 1). O SecuStack também usa o Intel® Advanced Encryption Standard — New Instructions (Intel® AES-NI) para acelerar os processos de criptografia do SecuStack.

Figura 1. Aproveitando os recursos das Intel® Software Guard Extensions (Intel® SGX), o sistema operacional SecuStack permite uma computação confidencial na nuvem.

A Colaboração Ajuda a Melhorar a Segurança na Nuvem

Assim como a Intel, a secunet acredita que a segurança real não pode ser obtida somente por meio de Software ou hardware. Resultados de segurança reais da combinação de recursos de software e hardware. Há décadas, a Intel tem melhorado os recursos de segurança de hardware, como a inicialização segura e a virtualização no processador. A Intel® SGX adiciona recursos importantes de segurança, incluindo enclaves, atestação, criptografia de memória e proteção de dados em uso. O SecuStack se beneficia de todas essas inovações da Intel, combinando-as com uma versão reforçada com segurança do OpenStack. As duas empresas colaboraram com a Scontain, que adicionou várias ferramentas à sua plataforma SCONE que utiliza a Intel® SGX. A cooperação entre as três empresas resultou em um sistema operacional em nuvem verificável e operável que pode finalmente trazer a computação em nuvem para casos de uso como saúde, bancos, computação multipartes, computação confidencial e o setor público.

Durante o desenvolvimento do SecuStack, a Intel forneceu recursos educacionais para os desenvolvedores do SecuStack para que possam entender quais novas tecnologias Intel® estavam no horizonte. Os engenheiros da Intel compartilharam percepções sobre como usar a tecnologia de enclaves para casos de uso de aprendizado de máquina e inteligência artificial (IA), e responderam a perguntas sobre a Intel® SGX. A Intel também forneceu acesso antecipado a ofertas de hardware e acesso remoto ao Intel Labs e à tecnologias Intel®. A Intel e a secunet estão ansiosos para continuar colaborando e investindo em novas tecnologias para melhorar ainda mais a segurança da computação em nuvem.

“Muitos provedores de plataformas podem oferecer tecnologias de nuvem ou recursos de inteligência artificial (IA). A Intel é a única empresa que pode fornecer tecnologias em nuvem e IA de forma holística e segura.” — Kai Martius, diretor técnico, secunet Security Networks AG

Caso de Uso SecuStack: Computação Multipartes Confidencial

O SecuStack usa a plataforma SCONE e a Intel® SGX para aplicações inovadoras na nuvem. Essas aplicações incluem aprendizado de máquina e computação multipartes. Alguns dos clientes das de Saúde e Ciências da Vida do SecuStack estão usando o SecuStack para proteger os modelos de aprendizado de máquina para transferir e processar dados de pacientes para aplicativos de aprendizado de máquina federados confidenciais. Não importa se o prestador de serviços em nuvem (CSP) é “confiável” ou não — os dados de treinamento, o código e os modelos permanecem protegidos contra o acesso pelo CSP. O SecuStack está capacitando a pesquisa estendida, que pode potencialmente levar a descobertas incríveis no diagnóstico e no tratamento de doenças.

Caso de uso SecuStack: Anonimização e Pseudonimização de Dados em Vídeo na Nuvem

Um dos clientes do SecuStack está usando o sistema operacional reforçado com segurança para a aprendizagem federada de modelos de inteligência artificial (IA), combinando dados de diferentes fontes, permanecendo em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Este cliente valoriza particularmente o provisionamento pelo SecuStack do gerenciamento completo do ciclo de vida da infraestrutura em nuvem segura personalizada. O gerenciamento da infraestrutura pode se estender a clusters Kubernetes gerenciados através dos serviços fornecidos pela parceira do SecuStack, a Cloud&Heat, para dar suporte ao desenvolvimento de aprendizado de máquina. Outros recursos do SecuStack que oferecem benefícios comerciais a este cliente incluem conexões seguras a redes virtuais privadas (VPN) que servem para proteger melhor o acesso a dados e a capacidade de armazenar e analisar com segurança os dados de vídeo sem violar as normas de proteção de dados da União Europeia.

“Temos um relacionamento excepcional com a Intel, que oferece informações sobre as próximas tecnologias e suporte de engenharia. É importante entender a tecnologia — e seus limites — para saber como usá-la e construir uma solução sólida.” — Kai Martius, diretor técnico, secunet Security Networks AG

Secunet Security Networks AG em Destaque

A secunet Security Networks AG é a principal empresa de segurança cibernética da Alemanha. A secunet emprega mais de 700 especialistas que fortalecem a soberania digital de governos, de empresas e da sociedade. A empresa oferece uma combinação de produtos e serviços de consultoria, infraestruturas digitais robustas, e o mais alto nível de segurança para dados, aplicativos e identidades digitais. A secunet é especializada em áreas com requisitos de segurança específicos, como a nuvem, a Internet das coisas industrial (IIoT), o aprendizado de máquina e serviços de saúde. Os clientes da secunet incluem ministérios federais alemães, organizações nacionais e internacionais, e mais de 20 corporações listadas na DAX.

Ingredientes da Solução

  • Sistema operacional em nuvem SecuStack
  • Plataforma SCONE da Scontain
  • Intel® Software Guard Extensions (Intel® SGX)
  • Intel® Advanced Encryption Standard — New Instructions (Intel® AES-NI)
  • Kubernetes gerenciados pela Cloud & Heat

Baixar PDF ›