Von Dr. Ivan Gudymenko, IT Security und Blockchain Architekt bei Telekom MMS
Innovative IT-Sicherheitstechnologien – wie Confidential Computing – ebnen den Weg für sichere, datenschutzfreundliche und -konforme Cloud-Enabling-Szenarien. In diesem Beitrag erfahren Sie, wie die Technologie in einem ersten Proof of Concept zur Absicherung von Verschlüsselungsproxies in der Cloud mit unseren Technologiepartnern Eperi und Scontain praktisch umgesetzt wird.
In der EU unterliegen die stark regulierten Geschäftsbereiche wie Finanzen, Versicherungen und Gesundheitswesen den strengen Vorschriften der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und Compliance. Gleichzeitig überwiegt die geschäftsgetriebene Motivation für die Migration der eigenen IT-Infrastruktur in die Public Cloud oft die damit verbundenen IT-Sicherheitsrisiken. Um beide Seiten abzuholen, sind Lösungen erforderlich, die technische Sicherheitsmaßnahmen (engl. Security Controls) umfassen und auf die neuen Bedrohungsszenarien vorbereitet sind. Insbesondere im Gesundheitswesen bei der Entwicklung von eHealth-Lösungen ist diese Anforderung besonders relevant.
Diese technischen Sicherheitsmaßnahmen müssen in Übereinstimmung mit den angenommenen Angriffsvektoren entwickelt werden (Stichwort Angreifer-Modell, oder Threat Model). In kritischen Bereichen umfasst dieses Angreifer-Modell häufig die Rolle eines Plattform- oder Infrastrukturadministrators, der nicht in der Lage sein sollte, in kritische Workloads einzugreifen und Einblicke in die verarbeiteten Daten zu erhalten, die auf der verwalteten Plattform oder Infrastruktur laufen. Zudem sollte auch der Schutz des Programm-Codes und der Daten in der Cloud-Anwendung gewährleistet sein.
Wie kann Confidential Computing praktisch als Sicherheitsmaßnahme in Cloudumgebungen eingesetzt werden?
Einer der möglichen Wege zur Bewältigung der oben genannten Herausforderungen liegt in der Nutzung des Technologie-Stacks im Bereich des „Trusted Computing“. Das Paradigma der vertrauenswürdigen Datenverarbeitung bzw. Ausführungsumgebungen bietet die Möglichkeit, den Anwendungscode und die Daten von der zugrunde liegenden Umgebung zu isolieren (einige prominente Beispiele sind: Smart Cards in der Bankindustrie, Secure Elements eines Smartphones, usw).
Die Herausforderung besteht jedoch darin, diese Funktionalität in die Cloud zu übertragen und sie in großem Umfang in breiten Cloud-Angeboten verfügbar zu machen. Confidential Computing befasst sich mit diesem Ansatz. Auf abstrakter Ebene kann ein sicherer Co-Prozessor der zugrunde liegenden Hardware eines physischen Cloud-Servers als Vertrauensanker betrachtet werden. Die Isolierungsfunktionen können dann in virtualisierten Umgebungen genutzt und für Cloud-Anwendungen zugänglich gemacht werden. Auf diese Weise wird die sogenannte „Trennung der Belange“ (engl. Separation of Concerns) erreicht: Administratoren haben somit keinen Zugriff auf die durch Confidential Computing isolierten Umgebungen, können aber dennoch die Plattform oder Infrastruktur verwalten.
Encryption Proxy: Proof-of-Concept und Ausblick
Gemeinsam mit unseren Technologiepartnern Eperi und Scontain hat das Confidential Computing Team von Telekom MMS ein Proof of Concept (PoC) entwickelt. Dieser demonstriert die praktische Durchführbarkeit der Ausführung eines Verschlüsselungsproxies innerhalb eines durch Confidential Computing gesicherten Speicherbereichs auf mehreren etablierten öffentlichen Clouds, wie Azure oder der Google Cloud Plattform (GCP). Der entsprechend gesicherte Speicherbereich wird oft als vertrauenswürdige Ausführungsumgebung (engl. Secure Execution Environment) bezeichnet und ist bereits als Standardfunktion in Azure und Google Cloud verfügbar. Mehrere weitere Cloud-Anbieter beabsichtigen, in Zukunft eine entsprechende Funktionalität anzubieten.
„Es gibt tatsächlich Nachfragen nach genau diesen Lösungen, da die Kunden versuchen, ihre eigenen Rechenzentren los zu werden, wenn sie in die Cloud wechseln. Und so wollen sie auch nicht, dass der Verschlüsselungsprozess in ihren eigenen Räumlichkeiten stattfindet. Wir haben daher nach Lösungen gesucht, bei denen das Eperi Gateway, das die Verschlüsselung der Daten durchführt, auch in einer Cloud-Umgebung eingesetzt werden kann und dort auch sicher ist“
Dominik Kowol, Technical Product Manager bei Eperi
Welche Technologien für Confidential Computing wurden evaluiert und warum?
Im Rahmen des PoC haben wir den Verschlüsselungsproxy von eperi mithilfe vom Scontain-Framework in einer Intel SGX Enclave auf Azure und im AMD SEV abgesicherten Speicherbereich auf der Google Cloud Plattform erfolgreich ausgeführt und ausführlich getestet.
„Wir haben eine Middleware entwickelt, mit der wir die Anwendung in Binärform übernehmen, sie umwandeln und dann alles verschlüsseln, was auf die Festplatte oder ins Netzwerk geht. Damit stellen wir sicher, dass die Anwendung getestet werden kann. Denn eines der Hauptmerkmale des Confidential Computings ist es, sicherzustellen, dass die Daten und der Code tatsächlich in den verschlüsselten Speicherbereich laufen, bevor der Anwendung irgendwelche Geheimnisse anvertraut werden. Damit kann sichergestellt werden, dass es keine bekannten Angriffe auf die Confidential-Computing-Umgebung gibt, bevor vertrauliche Daten eingegeben werden, die es dem Angreifer ermöglichen könnten, die verschlüsselten Dateien von Ihrer Festplatte, zu entschlüsseln.“
Prof. Dr. Christof Fetzer, COO bei SCONTAIN
Wir haben sowohl die Software Guard Extensions von Intel (SGX), als auch die Secure Encrypted Virtualisation von AMD (SEV) verwendet. Die beiden Technologien sind zurzeit die Marktführer im Bereich Confidential Computing. Wir haben Microsoft Azure für Intel SGX und Google Cloud Plattform für die AMD SEV-Bereitstellung verwendet. Das sind aktuell die Public Clouds, welche diese Funktionalität anbieten.
„Alles in allem haben wir gesehen, dass die ganze Sache sehr erfolgreich war und viel besser funktioniert hat, als wir erwartet hatten. Derzeit haben die Technologien noch ihre Nachteile und Schwächen, aber durch die stetige Weiterentwicklung und dem Einsatz von neuen Versionen können zukünftig auch die Seitenkanalattacken entschärft und die Sicherheit erhöht werden. Selbst in der jetzigen Form, die wir geschaffen haben, ist es viel sicherer als die nativen Anwendungen. Die Kunden erhalten eine sicherere Umgebung mit der Möglichkeit ihre Daten zu speichern, auf die die Cloud-Betreiber, externe Administratoren oder Maschinen keinen Zugriff haben. Wir sind weiterhin auf der Suche nach zukünftigen Technologien, die das Ganze noch viel sicherer machen.“
Mahiuddin Al Kamal and Muneeb Hafeez Jan, Software Developers bei Telekom MMS
Zusammenfassend lässt sich sagen, dass diese neue Technologie eindeutig das Potenzial hat, in naher Zukunft zum „State of the Art“ zu werden. Sie ermöglicht es stark regulierten Industriezweigen von den vielfältigen Vorteilen der Cloud zu profitieren und die Effizienz der unternehmensweiten Zusammenarbeit erheblich zu steigern. Darüber hinaus kann Confidential Computing eine grenz- und unternehmensübergreifende Zusammenarbeit, z.B. joint Analytics, KI-Anwendungen, usw. mit einem Minimum an manuellem Aufwand für die Geschäftsbereiche, ermöglichen.
Securing Cloud Encryption Proxies with Confidential Computing
Sichern Sie Ihre Services in der Cloud mit Confidential Computing
Dr. Ivan Gudymenko, IT Security und Blockchain Architekt bei Telekom MMS
Dr. Ivan Gudymenko ist IT Security und Blockchain Architekt, Experte im Bereich technischer Datenschutz und Consultant bei verschiedenen Projekten mit Fokus auf IT Sicherheit und blockchain-basierte Systeme. Seine Tätigkeit umfasst darüber hinaus fachliche Teamführung, Business Development im Innovationsbereich sowie fachliche Entwicklung von Innovationsthemen im Umfeld IT Security, Blockchains und Self-Sovereign Identity.
Ob Digitalisierungsexpert*in, Werkstudent*in oder Schülerpraktikant*in – Hier berichten unsere Gastautoren aus ihrem Alltag.