O avanço dos hackers, com incontáveis empresas atacadas e prejuízos gigantescos, levou os especialistas em segurança de dados a mais uma iniciativa que visa a prevenção. Confidential computing (ou computação confidencial) refere-se à tecnologia de computação em nuvem que isola os dados confidenciais durante o processamento.
Durante anos, os provedores de nuvem ofereceram serviços de criptografia para ajudar a proteger os dados em repouso (aqueles armazenados ou em bancos de dados) e os dados em trânsito (em uma conexão de rede). A computação confidencial elimina a última lacuna existente: a vulnerabilidade de segurança de dados em uso, ou seja, durante o processamento ou o tempo de execução.
Nuvem mais protegida
A confidential computing isola os dados confidenciais em um enclave de CPU protegido, durante o processamento. O conteúdo do enclave, ou seja, os dados sendo processados e as técnicas usadas para processá-los, são acessíveis apenas para o código de programação autorizado e são invisíveis e desconhecidos para qualquer coisa ou pessoa, incluindo o provedor de nuvem e seus funcionários. Isso significa uma maior proteção e garantia de que os dados na nuvem são realmente confidenciais.
A nova tecnologia é importante especialmente para aquelas empresas que têm dados sensíveis a proteger, como financeiras, telecomunicações, saúde e governo. Ela encoraja as empresas a mover seus dados e cargas de trabalho de computação para a nuvem pública e híbrida, aproveitando as vantagens desses serviços.
Como funciona
Tradicionalmente, um aplicativo precisa “enxergar” o dado para processá-lo, é preciso que ele seja descriptografado para ser processado. na memória. Isso faz com que os dados estejam vulneráveis um pouco antes, durante e logo após o processamento. Há uma lacuna, portanto.
A confidential computing resolve o problema aproveitando um ambiente de execução confiável baseado em hardware, ou TEE (trusted execution environment), que é um enclave seguro dentro de uma CPU. O TEE é protegido por meio de chaves de criptografia incorporadas; os mecanismos de atestação incorporados garantem que as chaves sejam acessíveis apenas ao código do aplicativo autorizado. Se um malware ou outro código não autorizado tentar acessar as chaves, ou se o código autorizado for hackeado ou alterado de alguma forma, o TEE nega o acesso às chaves e cancela o cálculo.
Assim, os dados confidenciais podem permanecer protegidos na memória até que o aplicativo diga ao TEE para descriptografá-los para processamento. Enquanto os dados são descriptografados e durante todo o processo de computação, eles são invisíveis para o sistema operacional (ou hipervisor em uma máquina virtual), para outros recursos de pilha de computação e para o provedor de nuvem e seus funcionários.
O mundo deu mais um passo avante na segurança de dados. A sua empresa vai dar esse passo também?
