Confidential computing – kolejny logiczny krok w rozwoju narzędzi do zabezpieczenia danych

Confidential computing – kolejny logiczny krok w rozwoju narzędzi do zabezpieczenia danych

Wymóg ochrony danych nie jest niczym nowym, ale w ostatnim czasie zyskał na znaczeniu wraz z wprowadzeniem w 2018 roku Rozporządzenia o Ochronie Danych Osobowych (RODO) i innych regulacji na całym świecie, które mają na celu zagwarantowanie bezpiecznych procesów przetwarzania danych wykorzystywanych przez firmy, instytucje i inne podmioty. Paul O'Neill z grupy Confidential Computing w firmie Intel wyjaśnia, jak ważną rolę odgrywa ta technologia w dobie dynamicznie rosnącej roli danych dla rozwiązań takich jak uczenie maszynowe i sztuczna inteligencja.

O autorze: Paul O'Neill jako Senior Manager jest odpowiedzialny za strategiczny rozwój biznesu w grupie Confidential Computing firmy Intel. Specjalizuje się w obszarach takich jak: bezpieczeństwo, poufne przetwarzanie danych (Confidential Computing), dostarczanie usług dla klientów, usługi w chmurze, usługi typu Manager Services oraz Customer Success. Paul skutecznie łączy ugruntowane umiejętności strategiczne, biznesowe i techniczne z ponad 20-letnim doświadczeniem w skutecznym dostarczaniu rozwiązań technologicznych.

Obowiązujące obecnie regulacje takie jak RODO, Schrems II, czy amerykańska ustawa Cloud Act, poddały procesy przetwarzania danych większej kontroli. Administratorzy i podmioty przetwarzające dane muszą zapewnić zgodność swoich działań z prawem w stale zmieniającym się, złożonym środowisku legislacyjnym. Możemy spodziewać się dalszych wysiłków w kierunku większego nadzoru nad ochroną danych, nie tylko w Europie, ale też w skali globalnej. Wynika to z faktu, że coraz więcej państw przyjmuje bardziej restrykcyjne przepisy dotyczące nie tylko ochrony samych danych, ale także sposobu ich wykorzystywania.

Koncepcja suwerennej chmury (Cloud Sovereignty) staje się kluczowym rozwiązaniem dla przedsiębiorstw z siedzibą w Europie, które chcą chronić dane generowane w Europie i zapewnić korzyści dla krajów, w których zostały one wygenerowane.

Wkroczyliśmy już na dobre w erę sztucznej inteligencji i uczenia maszynowego. Wraz z postępującą komodyzacją modeli ML, wzrasta też zapotrzebowanie na dane, które służą do ich budowania. Generatywna AI może zmienić sposób pracy wielu przedsiębiorstw, ale pod warunkiem zapewnienia szerokiego dostępu do źródeł danych i stabilnych modeli ich przetwarzania, co pozwoli ochronić prywatność osób fizycznych i nienaruszalność własności intelektualnej. W najbliższych latach spodziewany jest dalszy rozwój regulacji dotyczących wykorzystania sztucznej inteligencji i jej źródeł danych, takich jak unijna ustawa o sztucznej inteligencji (AI Act), która wkrótce ma stać się obowiązującym prawem.

Wraz z coraz częstszym wykorzystaniem szyfrowania przez przedsiębiorstwa, technologie zwiększające prywatność (Privacy Enhancing Technologies), które mają za zadanie pomóc w ochronie danych i własności intelektualnej, stają się istotnym narzędziem ułatwiającym przedsiębiorcom funkcjonowanie. Co więcej Confidential Computing szybko staje się jedną z najważniejszych tego rodzaju technologii.

Trzy stany danych

Wyróżniamy trzy stany danych: dane w spoczynku, dane w tranzycie i dane w użyciu. Dane przechowywane na nośniku fizycznym lub logicznym pozostają w stanie spoczynku. Dane przesyłane przez sieć lub między urządzeniami logicznymi są w ruchu, w tranzycie. Dane, które są przetwarzane, aktualizowane, udostępniane lub odczytywane przez aplikację, są nazywane danymi w użyciu.

Obecnie szyfrowanie danych, które pozostają w spoczynku i w tranzycie jest już powszechnie stosowanym rozwiązaniem w nowoczesnych aplikacjach i procesach korporacyjnych. Jednakże, gdy dane są używane podczas obliczeń, są one zazwyczaj w tym celu odszyfrowywane, a zatem są narażone na ryzyko.

Ponieważ działania wrogie wobec urządzeń sieciowych i pamięci masowych są coraz częściej udaremniane przez zastosowane zabezpieczenia (dotyczy to zwłaszcza danych w spoczynku i w tranzycie), to złośliwe ataki przeprowadzane z wykorzystaniem luk w zabezpieczeniach coraz częściej wycelowane są w dane będące w użyciu.

Zwiększone wykorzystanie szyfrowania wymagało wdrożenia nowych technologii zwiększających prywatność, aby umożliwić przedsiębiorstwom obliczanie zaszyfrowanych danych bez odszyfrowywania ich przed przetwarzaniem na dużą skalę.

Confidential Computing od podstaw

Confidential Computing szybko stał się krytyczną technologią zwiększającą prywatność, zapewniającą poufność i bezpieczeństwo wrażliwych danych podczas ich przetwarzania.

Tego typu rozwiązania umożliwiają wykonanie wrażliwych obliczeń w izolowanym sprzętowo, zaufanym środowisku wykonawczym (eng. Trusted Execution Environment). Dane wewnątrz TEE są szyfrowane za pomocą kluczy zarządzanych przez procesor i niedostępnych dla innych komponentów sprzętowych, komponentów oprogramowania, a nawet administratorów. Confidential Computing pozwala również właścicielom danych i modeli zagwarantować integralność ich danych i kodu w czasie wykonywania obliczeń. Pozwala to na uniknięcie niepożądanych modyfikacji czy to w kodzie, czy w danych. W ten sposób dane w użyciu są odpowiednio chronione.

Confidential Computing zapewnia również przedsiębiorstwom możliwość sprawdzenia, czy oczekiwany kod został odpowiednio wdrożony, a środowisko, na którym pracujemy jest oryginalnym środowiskiem Intel i czy jest zabezpieczone najnowszymi łatkami bezpieczeństwa. Proces ten, nazywany zdalnym poświadczaniem, wystawia kryptograficzne certyfikaty właścicielom danych i modeli.

Połączenie tych funkcji w ramach przetwarzania danych poufnych zwiększa gwarancje bezpieczeństwa dla organizacji, które zarządzają wrażliwymi i regulowanymi danymi - nawet w infrastrukturze chmury publicznej.

Confidential Computing zwiększa zakres wykorzystania sztucznej inteligencji

Technologia poufnego przetwarzania danych ma istotne znaczenie dla szerszego wykorzystania sztucznej inteligencji dostępnej na platformie SAS. Ochrona modeli AI za pomocą Confidential Computing nie tylko poprawia bezpieczeństwo danych, ale także pomaga zmniejszyć stronniczość modeli i usprawnić zarządzanie nimi. Poufne przetwarzanie danych można wykorzystać do zagwarantowania autentyczności informacji wykorzystywanych do trenowania rozwiązania AI i zapewnienia, że wykorzystanie modelu odbywa się wyłącznie z autoryzowanymi danymi i przez autoryzowanych użytkowników.

Jako praktyczny przykład rozważmy aplikację obsługującą transakcję biznesową, która wymaga współpracy między wieloma stronami. Często udostępniane w takich sytuacjach dane są poufne. Mogą to być dane osobowe, dokumentacja finansowa lub medyczna oraz inne prywatne informacje. Organizacje publiczne i prywatne prawnie wymagają, aby ich dane były chronione przed nieautoryzowanym dostępem. Czasami organizacje te chcą nawet chronić dane przed użytkownikami wewnętrznymi, takimi jak administratorzy lub inżynierowie infrastruktury, architekci bezpieczeństwa, analitycy biznesowi i specjaliści data science. Ochrona danych w użyciu i funkcja poświadczania Confidential Computing mogą w takim przypadku umożliwić niezbędny dla efektywnej współpracy poziom zaufania.

Rozwiązania te mogą znacząco poprawić prywatność i bezpieczeństwo danych klientów z branż podlegających ścisłym regulacjom, takich jak usługi finansowe, opieka zdrowotna i administracja rządowa. Mogą zachęcić te instytucje do przeniesienia większej ilości wrażliwych danych i obciążeń obliczeniowych do usług w chmurze publicznej, co będzie miało wpływ na obniżenie kosztów operacyjnych.

Innym dobrym przykładem jest coraz szersze wykorzystanie sztucznej inteligencji w usługach opieki zdrowotnej, wraz z dostępem do większych zbiorów danych i badań obrazowych pacjentów. Diagnostyka chorób i opracowywanie leków to obszary, które skorzystają na większej liczbie źródeł danych, ponieważ ich zagregowana analiza może zapewnić wyższą dokładność przewidywań. Szpitale i instytucje opieki zdrowotnej mogą współpracować, udostępniając dokumentację medyczną pacjentów w ramach TEE, nawet w chmurze publicznej. Usługi sztucznej inteligencji działające w ramach tego samego TEE mogą np. agregować dane, analizować je i automatyzować niektóre procesy decyzyjne. Stosowana ochrona danych w połączeniu z funkcją atestacji Confidential Computing może zminimalizować ryzyko ujawnienia prywatnych danych pacjentów. Może również chronić cenną własność intelektualną właścicieli modeli uczenia maszynowego.

Inne obszary działalności, które wymagają bezpiecznego udostępniania i przetwarzania danych to przeciwdziałanie praniu pieniędzy, wykrywanie oszustw i ujawnianie handlu ludźmi. W tych przypadkach strony mogą uzgodnić rodzaj przetwarzania, który ma zostać wykonany. Odpowiednia aplikacja jest wdrażana w środowisku Confidential Computing, potem strony weryfikują, czy oczekiwana aplikacja jest uruchomiona (przy użyciu poświadczenia), a następnie przekazują swoje dane wejściowe. Żadna ze stron - nawet ta wykonująca analizę - nie może zobaczyć danych innej strony i nie może wykonać żadnego przetwarzania, które nie zostało uzgodnione.

Liderzy AI, tacy jak SAS, mają w swoim portfolio szereg narzędzi, które skutecznie wykorzystują rosnącą moc obliczeniową i techniki Confidential Computing. Połączenie tych technologii jest niezbędne do zaoferowania rozwiązań dla firm, które chcą w pełni wykorzystać potencjał sztucznej inteligencji, jednocześnie ograniczając charakterystyczne dla danego obszaru elementy ryzyka.

Confidential Computing w firmie Intel

Dzięki rozszerzeniom Intel® Trust Domain Extensions (Intel® TDX) wprowadzonym na rynek w 2023 roku, Intel zapewnia od teraz technologię Confidential Computing, która oferuje izolację i poufność na poziomie maszyny wirtualnej (VM). Intel TDX izoluje system operacyjny gościa i aplikacje wewnątrz od hosta chmury, hiperwizora i innych maszyn wirtualnych na tej samej platformie, oferując zwiększone możliwości ochrony.

Confidential Computing obsługiwany przez Intel® Software Guard Extensions (Intel® SGX) umożliwia izolację aplikacji, zapewniając jeszcze bardziej szczegółowy poziom ochrony. Dzięki Intel TDX i Intel SGX, portfolio technologii Intel Confidential Computing pozwala firmom wybrać poziom bezpieczeństwa, którego potrzebują, aby zaspokoić swoje potrzeby.

W kierunku odpowiedzialnych innowacji

Oparte na technologiach Intel rozwiązanie Confidential Computing umożliwia właścicielom danych i przedsiębiorstwom wykonywanie obliczeń na wrażliwych danych oraz godną zaufania ochronę cennej własności intelektualnej, umożliwiając w ten sposób przestrzeganie przepisów dotyczących danych i wymogów zgodności. Szyfrowanie danych staje się normą, a wbudowanie od samego początku rozwiązań opartych na prywatności, poufności i integralności w suwerenne architektury hybrydowe i wielochmurowe ułatwi klientom i operatorom poruszanie się po złożonym świecie ochrony danych i modeli uczenia maszynowego.

Confidential Computing pomaga przezwyciężyć niektóre z kluczowych wyzwań, które ograniczają rozwój i wdrażanie rozwiązań AI oraz umożliwia organizacjom bardziej efektywną współpracę nad projektami opartymi na danych. W połączeniu z rozwiązaniami SAS, pomaga napędzać odpowiedzialne innowacje w przestrzeni AI i ML.

Biorąc pod uwagę prognozy Allied Market Research, zgodnie z którymi rynek Confidential Computing może wzrosnąć do 184,5 mld USD do 2032 r., oczywiste jest, że przedsiębiorstwa postrzegają tę technologię jako istotne narzędzie w swoim arsenale zapewniania bezpieczeństwa danych.

Udostępnij link

https://www.datasciencerobie.pl/confidential-computing-kolejny-logiczny-krok-w-rozwoju-narzedzi-do-zabezpieczenia-danych/