Il Confidential Computing è una tecnologia di cloud computing che protegge i dati sensibili durante la loro elaborazione. All’interno di ogni processore è presente una zona ad accesso riservato che prende il nome di enclave. L’enclave, a sua volta, è protetta da un’architettura hardware che impedisce a chi non è autorizzato di accedere ai dati o ai risultati dell’elaborazione. Questa limitazione vale anche per il cloud provider. I dati sensibili, infatti, vengono criptati quando entrano nell’enclave e rimangono tali anche durante l’elaborazione; per cui restano sempre inaccessibili a chi non è autorizzato.
I vantaggi del Confidential Computing
L’adozione del Confidential Computing può portare una interessante serie di vantaggi, oltre naturalmente alla protezione dei dati tramite crittografia. Menzioniamo i due che secondo noi sono più importanti. Innanzitutto, si può ottenere una collaborazione sicura. Più soggetti possono lavorare parallelamente sugli stessi dati sensibili senza doverli condividere fisicamente. Inoltre, le aziende sono in grado di sviluppare nuovi modelli di business che sfruttano dati sensibili senza rischiare di comprometterne la primacy.
Come viene implementato il Confidential Computing
Nei sistemi Cloud moderni il Confidential Computing viene implementato con un’architettura a due livelli, di cui una parte hardware e una software. La parte hardware risiede nel processore ed è rappresentata dall’enclave. La tecnologia è già supportata dai processori ultima generazione di Intel (Intel Software Guard Extensions) e di AMD (AMD Secure Encrypted Virtualization). Nella parte software il cloud provider realizza una piattaforma applicativa per l’accesso alle funzionalità dell’harware. Tra le soluzioni offerte dagli hyperscaler troviamo già oggi Google Cloud Confidential VM e Microsoft Azure Confidential Computing.
Come proteggere i tuoi dati? Scopri Bitdefender qui, Leader mondiale nella sicurezza informatica!
I benefici per la security
Dal punto di vista della sicurezza del dato le piattaforme in uso oggi applicano una politica di crittografia limitata alle fasi di trasmissione e memorizzazione. Al di fuori di queste due situazioni il dato è in chiaro ed esposto agli attaccanti. Di fatto, il Confidential Computing estende il periodo di cifratura del dato all’elaborazione diminuendo sensibilmente la superficie di attacco per i malintenzionati.
Non solo, il Confidential Computing permette anche la reingegnerizzazione dei servizi software sulla base di policy con privilegi minimi. Vale a dire, solo i segmenti di codice applicativo che hanno effettivamente bisogno di un dato posso accedervi. Tutto il resto del software vede informazioni protette dalla cifratura hardware dell’enclave. Questo vuol dire che se un attaccante entra nel sistema e accede a una parte di software senza autorizzazione non vedrà i dati. Se, invece, riesce a impossessarsi di codice autorizzato, per poterlo usare per i suoi scopi l’attaccante dovrà verosimilmente modificarlo e quindi perderà le autorizzazioni di accesso.
Questo approccio, soprattutto se adottato da servizi di nuova generazione, permette di rendere una architettura cloud molto più resiliente agli attacchi. Anche a quelli di ultima generazione, che potrebbero fare uso di tecniche avanzate di AI.
Casi d’uso del Confidential Computing
Il Confidential Computing potrà trovare facile applicazione in una serie di settori dove oggi il cloud ha ancora qualche problema a proporsi. Le banche, ad esempio, possono utilizzarlo per elaborare transazioni finanziarie sensibili senza dover condividere i dettagli della transazione con il provider. Le aziende farmaceutiche, invece, possono sviluppare nuovi farmaci senza mettere in pericolo le loro costose proprietà intellettuali. La pubblica amministrazione, infine, potrebbe usarlo per elaborare i dati sensibili dei cittadini senza rischi; anche se, in questo ultimo caso, rimane sempre valido il vincolo della sovranità del dato.
Questo articolo si è parzialmente ispirato da “Confidential Computing: Elevating Cloud Security and Privacy” di Mark Russinovich apparso su “ACM Communications” di gennaio 2024 a pagina 52. La rivista è disponibile online e, per chi vuole approfondire la tematica che Confidential Computing, l’articolo di ACM propone una bibliografia molto interessante.