Confidential Computing

Renforcer la sécurité de vos données grâce à l’informatique confidentielle

Auteur : Proximus NXT
11/04/2023

Sécuriser vos données grâce au Confidential Computing

Avec l’adoption rapide du cloud, de nombreuses organisations ont commencé à s’interroger sur le niveau de confiance accordé aux fournisseurs cloud. Plusieurs problématiques récurrentes ont ainsi émergé :

  • Mes données, ou celles de mes clients, peuvent-elles être divulguées à d’autres utilisateurs d’un fournisseur cloud public ?
  • Le fournisseur cloud partagera-t-il mes données sur demande des autorités ?
  • Que se passerait-il si un employé malveillant de mon fournisseur cloud public décidait d’extraire mes données ?

La solution la plus adaptée pour répondre à ces questions est le Confidential Computing (informatique confidentielle).

Le Confidential Computing et ses techniques

Le Confidential Computing est une technique de sécurité conçue pour protéger les données et les traitements contre les accès non autorisés ou les manipulations malveillantes.

Il permet de traiter et de stocker des données sensibles de manière sécurisée, même lorsqu’elles sont utilisées dans des environnements considérés comme non fiables, tels que les environnements de cloud computing ou d’edge computing.

L’approche Confidential Computing regroupe différentes techniques dans plusieurs domaines. Elle comprend notamment :

  • l’isolation des données et du code ;
  • la sécurisation des environnements de collaboration entre différents acteurs ;
  • l’utilisation de solutions cloud adaptées permettant de protéger à la fois les données et les applications ;
  • l’amélioration de la sécurité matérielle afin de fournir des capacités de stockage sécurisé et des opérations cryptographiques protégées.

L’un des principaux composants du Confidential Computing repose sur les enclaves sécurisées (secure enclaves) et les Trusted Execution Environments (TEE). Ces environnements permettent de stocker les traitements et les données non chiffrées.

Toutefois, l’enclave elle-même est chiffrée et ne peut être déchiffrée que pendant l’exécution par le processeur (CPU – Central Processing Unit). Cela permet ainsi de protéger les données contre tout type d’accès non autorisé, y compris les accès aux données présentes dans la mémoire vive (RAM – Random Access Memory).

Les clés de chiffrement peuvent quant à elles être stockées directement dans le processeur ou externalisées. Selon la technologie choisie, deux méthodes principales existent :

Hardware Security Modules (HSM)

Les HSM sont des équipements matériels spécialement conçus pour fournir un stockage sécurisé des clés ainsi que des opérations cryptographiques.

Ils permettent de conserver les clés de manière sécurisée et peuvent être hébergés directement dans les locaux de l’organisation.

Managed Key Vaults

Les Managed Key Vaults sont des HSM virtualisés permettant de protéger les clés cryptographiques, les certificats, etc.

Cependant, un Managed Key Vault est opéré par le fournisseur cloud et n’offre donc qu’une couverture de sécurité limitée par rapport à un HSM physique contrôlé par l’organisation.

Des modèles de Confidential Computing adaptés

Plusieurs fournisseurs proposent aujourd’hui des technologies de Confidential Computing, notamment Intel et AMD, mais leur implémentation varie selon les fournisseurs cloud.

Les deux principaux fournisseurs cloud ayant intégré le Confidential Computing sont Microsoft Azure et Google Cloud.

Microsoft Azure base sa technologie sur Intel Software Guard Extensions (SGX), déployée sur du matériel dédié et prenant en charge les systèmes d’exploitation Windows et Linux.

Microsoft travaille également à l’intégration de Intel Trust Domain Extensions (TDX), qui s’appuie sur la virtualisation des enclaves.

De son côté, le modèle de Confidential Computing de Google Cloud combine plusieurs technologies de sécurité matérielle, notamment AMD Secure Encrypted Virtualization (SEV) et Intel SGX. Le service est virtualisé et prend uniquement en charge le système d’exploitation Linux.

Des services adaptés grâce au Confidential Computing

Différents services peuvent être déployés en s’appuyant sur le Confidential Computing :

Confidential Virtual Machines (VM)

Les Confidential VMs isolent les données et les applications grâce à des clés de chiffrement générées lors de la création de la machine virtuelle. Ces clés résident soit directement dans le chipset, soit peuvent être externalisées.

Confidential Databases

Les Confidential Databases reposent sur des Confidential VMs et intègrent également des technologies de chiffrement permanent (always-encrypted technology).

Confidential Containers

Les Confidential Containers sont une technologie de conteneurisation permettant de renforcer la sécurité des charges de travail conteneurisées standards. Ils fournissent notamment des environnements Kubernetes exécutés sur une machine virtuelle confidentielle.

Les experts cloud de Proximus NXT vous accompagnent dans le choix des solutions de Confidential Computing les plus adaptées à vos besoins.

N’hésitez pas à nous contacter pour obtenir davantage d’informations.