Informática confidencial con Intel ® Software Guard Extensions (SGX)
La informática confidencial con Intel ® Software Guard Extensions (SGX) protege sus datos a través de la seguridad de servidor basada en hardware utilizando regiones de memoria aisladas que se conocen como enclaves cifrados. Este cálculo basado en hardware ayuda a proteger los datos de la divulgación o modificación. Lo que significa que los datos confidenciales se cifran mientras están en la memoria de instancia de servidor virtual permitiendo que las aplicaciones se ejecuten en el espacio de memoria privada. Para utilizar SGX, debe instalar los controladores SGX y el software de plataforma en nodos trabajadores con capacidad SGX. A continuación, diseñe la app para que se ejecute en un entorno SGX. Para obtener más información sobre la informática confidencial y IBM Cloud®, consulte Iniciación a la informática confidencial.
Informática confidencial con SGX
Cuando se utiliza la informática confidencial con SGX, los datos se protegen a través de todo el ciclo de vida de cálculo. Lo que significa que los datos solo son accesibles para el código autorizado y son invisibles para cualquier persona o cualquier otra cosa, incluido el sistema operativo e incluso IBM Cloud®.
SGX es un entorno de ejecución fiable (TEE)
SGX utiliza un entorno de ejecución fiable (TEE). TEE es un área segura del procesador principal que proporciona un nivel más alto de seguridad de datos para aplicaciones y datos de confianza.
Un TEE configura un área aislada y segura del procesador principal en un dispositivo que está dedicado a procesar y almacenar datos confidenciales. El entorno seguro está protegido frente a accesos no autorizados, incluso si el sistema operativo está comprometido. Mientras que los datos confidenciales están dentro de un enclave cifrado, los datos se dividen en partes de confianza y no de confianza. Las partes de confianza se utilizan en el enclave cifrado mientras que la CPU deniega el resto del acceso al enclave independientemente de los privilegios de acceso. Los datos son inaccesibles para amenazas internas y externas y no se pueden eliminar o modificar.
Por lo tanto, todos los Intel SGXs son TEEs, pero no todos los TEEs son Intel SGXs.
Testificación
Cuando desarrolle una aplicación informática confidencial, debe diseñarla para que pueda segmentar la información que necesita cifrado. En tiempo de ejecución, la información segmentada se mantiene confidencial a través de la testificación. Cuando se recibe una solicitud de información del código segmentado o datos de aplicación, el enclave cifrado verifica que la solicitud procede de la parte de la aplicación que existe fuera del enclave dentro de la misma aplicación antes de compartir cualquier información. A través del proceso de testificación, la información se mantiene confidencial y se impide la filtración de datos.
Cálculo confidencial con casos de uso de SGX
A continuación se muestran algunos de los casos de uso para la informática confidencial con SGX.
-
Confidencialidad y privacidad de cargas de trabajo y aplicaciones en un entorno informático confidencial asegúrese de que las aplicaciones de seguridad y privacidad de datos estén siempre protegidas.
-
La inteligencia artificial y analítica confidenciales habilita aplicaciones de analítica de negocio y datos, modelos de aprendizaje automático y aplicaciones dentro de enclaves seguros, que incluyen aplicaciones SMPC que también ayudan a obtener información de valor sobre los datos.
-
Secure Multi-party Compute habilita SMPC distribuido que ayuda a asegurarse de que los datos y conocimientos de los participantes estén protegidos incluso cuando se calculan fuera de su control directo.
-
Digital Assets es la plataforma de confianza para soluciones de custodia digital, para almacenar y transferir activos digitales de alto valor en carteras altamente seguras, fiables a escala.
Limitaciones
Tenga en cuenta las siguientes limitaciones si desea utilizar SGX.
- SGX no protege contra ataques de canal lateral.
- Disponible sólo en servidores basados en Sapphire Rapids de tercera generación.
- Solo los siguientes sistemas operativos dan soporte a SGX. Tenga en cuenta que los sistemas operativos con versiones de kernel 5.11 y anteriores no dan soporte a SGX.
- Red Hat 8.6, 8.8, 9.0, 9.2
- Ubuntu 20.04, 22.04
- CentOS Corriente 8, 9
- Rocky Linux 8.8, 9.2
- SLES 15 SP4, SP5
Próximos pasos
Para suministrar un servidor nativo con Intel SGX, consulte Suministro de un servidor nativo con Intel SGX.