Warum sich SUSE im Confidential Computing Consortium engagiert

Vor wenigen Wochen ist SUSE dem Confidential Computing Consortium (CCC) der Linux Foundation beigetreten. Gemeinsam mit anderen Herstellern wie AMD, Google, Intel und Microsoft arbeiten wir nun daran, Daten bei der Verarbeitung in Cloud- oder Edge-Umgebungen besser zu schützen. Eine Schlüsselrolle spielt dabei die neue Adaptable Linux Platform (ALP) von SUSE.

82 Prozent aller Unternehmen machen sich große Sorgen, dass Cloud Provider auf ihre Geschäftsdaten zugreifen könnten – so das Ergebnis einer aktuellen Studie von Futurum Research („Confidential Computing: The Future of Data Security and Digital Trust“). Und diese Bedenken sind nicht unbegründet, denn technisch wäre ein Cloud-Anbieter dazu wohl jederzeit in der Lage.

Zwar bieten die Anbieter ihren Kunden in der Regel die Möglichkeit, Daten während der Übertragung (data in transit) oder bei der Speicherung auf Cloud-Storage (data at rest) zu verschlüsseln. Sobald die Daten jedoch in der Cloud verarbeitet werden (data in use), benötigen die beteiligten Anwendungen Zugriff auf die Daten im Klartext. Unmittelbar vor, während und kurz nach der Verarbeitung sind die Daten daher nicht ausreichend vor Missbrauch, böswilligen Exploits und anderen Cyberrisiken geschützt.

Wie Confidential Computing das Vertrauen in die Cloud stärkt

Um unberechtigte Zugriffe auf die zu verarbeitenden Daten zu verhindern, wurde das Konzept des Confidential Computing entwickelt. Die Idee ist dabei, vertrauliche Daten während der Verarbeitung in einer vertrauenswürdigen Enklave innerhalb der CPU zu isolieren. Dieses Trusted Execution Environment (TEE) wird durch eingebettete Verschlüsselungsmechanismen geschützt und ist nur für autorisierten Anwendungscode zugänglich. Wenn nicht-autorisierte oder manipulierte Applikationen versuchen, auf den Inhalt der Enklave zuzugreifen, wird die Verarbeitung automatisch gestoppt.

SUSE ALP setzt neue Maßstäbe für Confidential Computing

SUSE setzt bei der Weiterentwicklung seiner Betriebssysteme konsequent auf das Prinzip des Confidential Computing und vereinfacht damit den sicheren Betrieb von Workloads in der Cloud oder auch in Edge-Umgebungen. Im Mittelpunkt steht dabei unsere neue Adaptable Linux Platform (ALP) – ein leichtgewichtiges, modulares Betriebssystem für die sichere Ausführung von containerisierten und virtualisierten Workloads.

Credits: Xavier von Erlach on Unsplash

Der dritte Prototyp von ALP („Piz Bernina“) unterstützt nicht nur den Einsatz von vertrauenswürdigen Laufzeitumgebungen für VMs, sondern bietet auch eine kryptographische Remote-Attestierung für Confidential Computing. Dabei wird der Nachweis erbracht, dass eine VM genau die Inhalte ausführt, die sie ausführen soll – und dies vollständig verschlüsselt.

Durch die automatische Integritätsprüfung spielt es für Unternehmen keine Rolle mehr, ob die VM im eigenen Rechenzentrum oder in einer Public Cloud an einem ganz anderen Ort läuft: Sie erreichen in jeder Umgebung dasselbe hohe Maß an Sicherheit und Vertrauenswürdigkeit. Das gilt auch für Systeme in Edge-Umgebungen, die physisch schwieriger vor unbefugten Zugriffen geschützt werden können.

Gemeinsam die Datensicherheit stärken

Mit unserem Engagement im CCC wollen wir das Thema Confidential Computing weiter vorantreiben und gemeinsam mit anderen Herstellern sichere Lösungen für unsere Kunden entwickeln. Bereits heute arbeiten wir im Bereich Confidential Computing eng mit führenden Anbietern zusammen:

• SUSE Linux Enterprise bietet Support für Confidential Virtual Machines (CVMs) auf der Google Cloud Platform und künftig auch in Microsoft Azure.
• Das Secure VM Service Module (SVSM) von SUSE baut auf der AMD SEV-SNP-Architektur für Confidential Computing auf.
• SUSE Linux Enterprise unterstützt Confidential Computing auf IBM zSystems und LinuxONE
• Auch mit den Chipherstellern Intel und Arm kooperieren wir bei der Entwicklung von Lösungen für Confidential Computing.

Mehr über unser Engagement für das Confidential Computing Consortium erfahren Sie in diesem Blog-Artikel:

SUSE Joins the Confidential Computing Consortium

Lesen Sie hier mehr über die Neuerungen in SUSE ALP – Version „Piz Bernina“:

SUSE’s Adaptable Linux Platform (ALP) Raises the Bar on Confidential Computing