Er is bijna geen bedrijfsapplicatie meer die géén gevoelige data verwerkt. Hoe zorg je voor de allerbeste beveiliging als je te maken hebt met zeer privacygevoelige data of strenge compliance-eisen?
Daarover gaat de nieuwste aflevering van Business Vooruit met IT, waarin ik, Tim Geerts, samen met Elien Callens, trainer en consultant bij Info Support, de mogelijkheden van Confidential Computing bespreek.
De beveiliging van data kent verschillende niveaus. Het gebruik van TLS-certificaten voor HTTPS-verkeer is gemeengoed geworden, en ook versleuteling van data ‘in rust’ via oplossingen als BitLocker is een standaardpraktijk. Toch bleef er lange tijd een kritieke schakel onbeschermd: de beveiliging van data tijdens gebruik, wanneer deze in het geheugen of op de processor wordt verwerkt.
De urgentie van deze problematiek werd onderstreept door de ontdekking van kwetsbaarheden zoals Spectre en Meltdown, waarbij processorgegevens uitgelezen konden worden. Deze incidenten leidden tot significante code-updates voor Intel processoren. Confidential computing is de volgende stap in databeveiliging: data die je in gebruik hebt, die in je geheugen of in de CPU wordt geladen, wordt hierbij versleuteld.
Een recent project bij de Vlaamse overheid illustreert de praktische toepassing van Confidential Computing. De uitdaging: de Vlaamse toezichtcommissie had fundamentele bezwaren tegen het hosten van overheidssoftware bij niet-Europese cloudproviders. Elien: “Confidential Computing biedt daar een oplossing voor, omdat het ervoor zorgt dat een Amerikaanse cloudprovider niet de data van de Vlaamse overheid kan raadplegen.”
De verschillende benaderingen van Confidential Computing zijn vergelijkbaar met een gebouw dat wordt beveiligd. Bij traditionele cloudoplossingen, zoals AMD’s SEV-technologie, krijg je met één sleutel toegang tot het hele gebouw. De Intel SGX-aanpak daarentegen, voegt een extra beveiligingslaag toe – vergelijkbaar met een kluis binnen het gebouw die een aanvullende sleutel vereist. Deze verschillende niveaus van granulariteit maken het mogelijk om de juiste beveiligingsoplossing voor specifieke use-cases te selecteren.
Bij de implementatie van Confidential Computing zijn er twee hoofdbenaderingen beschikbaar voor organisaties. De eerste optie, via de technologie van Intel, vereist specifieke aanpassingen in applicaties, maar biedt zeer gerichte beveiliging voor kritieke onderdelen. Deze aanpak blijkt echter in de praktijk complex, omdat niet alle applicatiecomponenten hiermee compatibel zijn.
De tweede benadering, via de technologie van AMD, biedt een meer toegankelijke oplossing waarbij de hele virtuele omgeving wordt beveiligd zonder dat er aanpassingen aan de applicaties nodig zijn. Deze methode is bijzonder geschikt voor organisaties die hun bestaande applicaties willen beveiligen zonder grootschalige herontwikkeling. In de praktijk blijkt deze optie goed te werken in een lift-and-shift scenario, aldus Elien: “We hebben een Kubernetes-cluster opgezet gebruikmakend van de AMD technologie. Hierdoor hebben we geen codeaanpassingen moeten doen en werkte alles direct op de cluster. Dat laat zien dat Confidential Computing goed samengaat met gangbare containerplatformen.”
Net als bij andere beveiligingstechnologieën is er sprake van een bescheiden performance impact. Je hebt natuurlijk altijd nog te maken met een kleine performance penalty, omdat die data versleuteld moet worden in het systeem en vervolgens weer ontsleuteld. Deze performance impact is vergelijkbaar met wat organisaties gewend zijn van SSL-versleuteling voor netwerkverkeer.
De overhead die voortkomt uit het versleutelen en ontsleutelen van data tijdens verwerking, vormt in de praktijk zelden een belemmering voor de gebruikerservaring.
De ontwikkeling van Confidential Computing heeft sinds 2021 een indrukwekkende versnelling doorgemaakt. Waar de technologie aanvankelijk nog kostbaar was voor veel organisaties, zijn de implementatiekosten inmiddels substantieel gedaald. De prijs voor Confidential Computing-enabled virtual machines ligt nu veel dichter bij die van reguliere instances, waardoor de technologie toegankelijk is geworden voor een breder scala aan toepassingen.
Deze prijsontwikkeling loopt parallel met verbeterde toegankelijkheid. Grote cloudproviders hebben de adoptiedrempel verlaagd door Confidential Computing direct beschikbaar te maken via hun standaard serviceportals. Tegelijkertijd werkt het Confidential Computing Consortium – een samenwerking tussen onder andere Google, AMD, Intel en Meta – aan de ontwikkeling van industriestandaarden.
Dankzij de samenwerking van die partijen is Confidential Computing meer gemeengoed geworden en toegankelijker gemaakt. Verschillende cloudproviders bieden het nu aan, zoals Azure en Google. Dat maakt het veel eenvoudiger om Confidential Computing te adopteren.
Wil je meer weten over Confidential Computing en de mogelijkheden voor jouw organisatie? Bekijk of beluister dan de podcast.