Confidential-Computing zur Absicherung von Cloud-Verschlüsselungsproxies

Von Dr. Ivan Gudymenko, IT Security und Blockchain Architekt bei Telekom MMS

Innovative IT-Sicherheitstechnologien – wie Confidential Computing – ebnen den Weg für sichere, datenschutzfreundliche und -konforme Cloud-Enabling-Szenarien. In diesem Beitrag erfahren Sie, wie die Technologie in einem ersten Proof of Concept zur Absicherung von Verschlüsselungsproxies in der Cloud mit unseren Technologiepartnern Eperi und Scontain praktisch umgesetzt wird.

In der EU unterliegen die stark regulierten Geschäftsbereiche wie Finanzen, Versicherungen und Gesundheitswesen den strengen Vorschriften der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und Compliance. Gleichzeitig überwiegt die geschäftsgetriebene Motivation für die Migration der eigenen IT-Infrastruktur in die Public Cloud oft die damit verbundenen IT-Sicherheitsrisiken. Um beide Seiten abzuholen, sind Lösungen erforderlich, die technische Sicherheitsmaßnahmen (engl. Security Controls) umfassen und auf die neuen Bedrohungsszenarien vorbereitet sind. Insbesondere im Gesundheitswesen bei der Entwicklung von eHealth-Lösungen ist diese Anforderung besonders relevant.

Diese technischen Sicherheitsmaßnahmen müssen in Übereinstimmung mit den angenommenen Angriffsvektoren entwickelt werden (Stichwort Angreifer-Modell, oder Threat Model). In kritischen Bereichen umfasst dieses Angreifer-Modell häufig die Rolle eines Plattform- oder Infrastrukturadministrators, der nicht in der Lage sein sollte, in kritische Workloads einzugreifen und Einblicke in die verarbeiteten Daten zu erhalten, die auf der verwalteten Plattform oder Infrastruktur laufen. Zudem sollte auch der Schutz des Programm-Codes und der Daten in der Cloud-Anwendung gewährleistet sein.

Wie kann Confidential Computing praktisch als Sicherheitsmaßnahme in Cloudumgebungen eingesetzt werden?

Einer der möglichen Wege zur Bewältigung der oben genannten Herausforderungen liegt in der Nutzung des Technologie-Stacks im Bereich des „Trusted Computing“. Das Paradigma der vertrauenswürdigen Datenverarbeitung bzw. Ausführungsumgebungen bietet die Möglichkeit, den Anwendungscode und die Daten von der zugrunde liegenden Umgebung zu isolieren (einige prominente Beispiele sind: Smart Cards in der Bankindustrie, Secure Elements eines Smartphones, usw).

Die Herausforderung besteht jedoch darin, diese Funktionalität in die Cloud zu übertragen und sie in großem Umfang in breiten Cloud-Angeboten verfügbar zu machen. Confidential Computing befasst sich mit diesem Ansatz. Auf abstrakter Ebene kann ein sicherer Co-Prozessor der zugrunde liegenden Hardware eines physischen Cloud-Servers als Vertrauensanker betrachtet werden. Die Isolierungsfunktionen können dann in virtualisierten Umgebungen genutzt und für Cloud-Anwendungen zugänglich gemacht werden. Auf diese Weise wird die sogenannte „Trennung der Belange“ (engl. Separation of Concerns) erreicht: Administratoren haben somit keinen Zugriff auf die durch Confidential Computing isolierten Umgebungen, können aber dennoch die Plattform oder Infrastruktur verwalten.

Encryption Proxy: Proof-of-Concept und Ausblick

Gemeinsam mit unseren Technologiepartnern Eperi und Scontain hat das Confidential Computing Team von Telekom MMS ein Proof of Concept (PoC) entwickelt. Dieser demonstriert die praktische Durchführbarkeit der Ausführung eines Verschlüsselungsproxies innerhalb eines durch Confidential Computing gesicherten Speicherbereichs auf mehreren etablierten öffentlichen Clouds, wie Azure oder der Google Cloud Plattform (GCP). Der entsprechend gesicherte Speicherbereich wird oft als vertrauenswürdige Ausführungsumgebung (engl. Secure Execution Environment) bezeichnet und ist bereits als Standardfunktion in Azure und Google Cloud verfügbar. Mehrere weitere Cloud-Anbieter beabsichtigen, in Zukunft eine entsprechende Funktionalität anzubieten.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL3pqaUFPbWxyVkZnIiB0aXRsZT0iWW91VHViZSB2aWRlbyBwbGF5ZXIiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlIiBhbGxvd2Z1bGxzY3JlZW49IiIgd2lkdGg9IjU2MCIgaGVpZ2h0PSIzMTUiIGZyYW1lYm9yZGVyPSIwIj48L2lmcmFtZT4=

„Es gibt tatsächlich Nachfragen nach genau diesen Lösungen, da die Kunden versuchen, ihre eigenen Rechenzentren los zu werden, wenn sie in die Cloud wechseln. Und so wollen sie auch nicht, dass der Verschlüsselungsprozess in ihren eigenen Räumlichkeiten stattfindet. Wir haben daher nach Lösungen gesucht, bei denen das Eperi Gateway, das die Verschlüsselung der Daten durchführt, auch in einer Cloud-Umgebung eingesetzt werden kann und dort auch sicher ist“

Dominik Kowol, Technical Product Manager bei Eperi

Welche Technologien für Confidential Computing wurden evaluiert und warum?

Im Rahmen des PoC haben wir den Verschlüsselungsproxy von eperi mithilfe vom Scontain-Framework in einer Intel SGX Enclave auf Azure und im AMD SEV abgesicherten Speicherbereich auf der Google Cloud Plattform erfolgreich ausgeführt und ausführlich getestet.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL2llLXluSWx2UTc0IiB0aXRsZT0iWW91VHViZSB2aWRlbyBwbGF5ZXIiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlIiBhbGxvd2Z1bGxzY3JlZW49IiIgd2lkdGg9IjU2MCIgaGVpZ2h0PSIzMTUiIGZyYW1lYm9yZGVyPSIwIj48L2lmcmFtZT4=

„Wir haben eine Middleware entwickelt, mit der wir die Anwendung in Binärform übernehmen, sie umwandeln und dann alles verschlüsseln, was auf die Festplatte oder ins Netzwerk geht. Damit stellen wir sicher, dass die Anwendung getestet werden kann. Denn eines der Hauptmerkmale des Confidential Computings ist es, sicherzustellen, dass die Daten und der Code tatsächlich in den verschlüsselten Speicherbereich laufen, bevor der Anwendung irgendwelche Geheimnisse anvertraut werden. Damit kann sichergestellt werden, dass es keine bekannten Angriffe auf die Confidential-Computing-Umgebung gibt, bevor vertrauliche Daten eingegeben werden, die es dem Angreifer ermöglichen könnten, die verschlüsselten Dateien von Ihrer Festplatte, zu entschlüsseln.“

Prof. Dr. Christof Fetzer, COO bei SCONTAIN

Wir haben sowohl die Software Guard Extensions von Intel (SGX), als auch die Secure Encrypted Virtualisation von AMD (SEV) verwendet. Die beiden Technologien sind zurzeit die Marktführer im Bereich Confidential Computing. Wir haben Microsoft Azure für Intel SGX und Google Cloud Plattform für die AMD SEV-Bereitstellung verwendet. Das sind aktuell die Public Clouds, welche diese Funktionalität anbieten.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSBsb2FkaW5nPSJsYXp5IiBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL3dSUGRuUE50cnQ4IiB0aXRsZT0iWW91VHViZSB2aWRlbyBwbGF5ZXIiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlIiBhbGxvd2Z1bGxzY3JlZW49IiIgd2lkdGg9IjU2MCIgaGVpZ2h0PSIzMTUiIGZyYW1lYm9yZGVyPSIwIj48L2lmcmFtZT4=

„Alles in allem haben wir gesehen, dass die ganze Sache sehr erfolgreich war und viel besser funktioniert hat, als wir erwartet hatten. Derzeit haben die Technologien noch ihre Nachteile und Schwächen, aber durch die stetige Weiterentwicklung und dem Einsatz von neuen Versionen können zukünftig auch die Seitenkanalattacken entschärft und die Sicherheit erhöht werden. Selbst in der jetzigen Form, die wir geschaffen haben, ist es viel sicherer als die nativen Anwendungen. Die Kunden erhalten eine sicherere Umgebung mit der Möglichkeit ihre Daten zu speichern, auf die die Cloud-Betreiber, externe Administratoren oder Maschinen keinen Zugriff haben. Wir sind weiterhin auf der Suche nach zukünftigen Technologien, die das Ganze noch viel sicherer machen.“
Mahiuddin Al Kamal and Muneeb Hafeez Jan, Software Developers bei Telekom MMS

Zusammenfassend lässt sich sagen, dass diese neue Technologie eindeutig das Potenzial hat, in naher Zukunft zum „State of the Art“ zu werden. Sie ermöglicht es stark regulierten Industriezweigen von den vielfältigen Vorteilen der Cloud zu profitieren und die Effizienz der unternehmensweiten Zusammenarbeit erheblich zu steigern. Darüber hinaus kann Confidential Computing eine grenz- und unternehmensübergreifende Zusammenarbeit, z.B. joint Analytics, KI-Anwendungen, usw. mit einem Minimum an manuellem Aufwand für die Geschäftsbereiche, ermöglichen.

Securing Cloud Encryption Proxies with Confidential Computing

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSBsb2FkaW5nPSJsYXp5IiBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL3B2NmUxaXpEY2owIiB0aXRsZT0iWW91VHViZSB2aWRlbyBwbGF5ZXIiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlIiBhbGxvd2Z1bGxzY3JlZW49IiIgd2lkdGg9IjU2MCIgaGVpZ2h0PSIzMTUiIGZyYW1lYm9yZGVyPSIwIj48L2lmcmFtZT4=

Sichern Sie Ihre Services in der Cloud mit Confidential Computing

Teaser zum Whitepaper: "Gefahr in der Cloud: Schützen Sie Ihre Cloud Ressourcen vor kritischen Bedrohungen"
Link führt zur Download-Seite auf der Corporate Site der Telekom MMS

Dr. Ivan Gudymenko, IT Security und Blockchain Architekt bei Telekom MMS

Dr. Ivan Gudymenko ist IT Security und Blockchain Architekt, Experte im Bereich technischer Datenschutz und Consultant bei verschiedenen Projekten mit Fokus auf IT Sicherheit und blockchain-basierte Systeme. Seine Tätigkeit umfasst darüber hinaus fachliche Teamführung, Business Development im Innovationsbereich sowie fachliche Entwicklung von Innovationsthemen im Umfeld IT Security, Blockchains und Self-Sovereign Identity.

Gastautor*in

Ob Digitalisierungsexpert*in, Werkstudent*in oder Schülerpraktikant*in – Hier berichten unsere Gastautoren aus ihrem Alltag.

Name	Cookie-Einstellungen
Anbieter	Deutsche Telekom MMS GmbH, Impressum
Zweck	Speicherung der Cookie-Einwilligungen, die beim Aufruf der Website gegeben wurden.
Datenschutzerklärung	https://www.telekom-mms.com/datenschutz.html
Host(s)	blog.telekom-mms.com
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Mapp (ehem. Webtrekk)
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Betrieb und bedarfsgerechte Gestaltung
Datenschutzerklärung	https://leistungen.telekom-mms.com/datenschutz.html
Host(s)	tsystems01.webtrekk.net
Cookie Name	WTEID_, WT_, WTSID_*
Cookie Laufzeit	6 Monate (Cookie), Bis zum Beenden des Browsers (Session Cookie)

Name	Social Media Funktionen
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Ermöglicht es, die Social Funktionen auf der Webseite zu aktivieren, um Inhalte über Social Media zu teilen.
Datenschutzerklärung	https://blog.telekom-mms.com/datenschutzhinweise
Host(s)	blog.telekom-mms.com
Cookie Name	social, lokaler Speicher (blog.telekom-mms.com)
Cookie Laufzeit	1000 Tage (Cookie), Bis zum Löschen des Caches (lokaler Speicher)

Akzeptieren	soundcloud
Name	soundcloud
Anbieter	SoundCloud Limited
Zweck	Wird von SoundCloud eingesetzt, um registrierte Nutzer plattform- und geräteübergreifend zu erkennen
Datenschutzerklärung	https://soundcloud.com/pages/privacy
Host(s)	soundcloud.com, w.soundcloud.com
Cookie Name	sc_anonymous_id, Session Cookie (w.soundcloud.com), lokaler Speicher
Cookie Laufzeit	10 Jahre (Cookie), Bis zum Beenden des Browsers (Session Cookie), Bis zum Löschen des Caches (lokaler Speicher)