Condividi tramite

Casi d'uso di Confidential Computing

Quando si usano tecnologie di confidential computing, è possibile rafforzare l'ambiente virtualizzato dall'host, dall'hypervisor, dall'amministratore host e persino dall'amministratore della macchina virtuale. A seconda del modello di minaccia, è possibile usare varie tecnologie per:

  • Impedire l'accesso non autorizzato. Eseguire dati sensibili nel cloud. Azure offre la migliore protezione possibile per i dati, senza la necessità di cambiare completamente le attuali procedure.
  • Rispettare la conformità normativa. Eseguire la migrazione al cloud e mantenere il controllo completo dei dati per soddisfare le normative governative per proteggere le informazioni personali e proteggere l'IP aziendale.
  • Garantire una collaborazione sicura e non fidata. Affrontare i problemi su scala di lavoro a livello di settore combinando i dati tra organizzazioni, anche concorrenti, per sbloccare analisi dei dati generali e approfondimenti più approfonditi.
  • Isolare l'elaborazione. Offrire una nuova ondata di prodotti che rimuovono la responsabilità sui dati privati con elaborazione cieca. Il provider di servizi non può recuperare i dati utente.

Scenari di calcolo confidenziale

Il confidential computing può essere applicato a vari scenari per la protezione dei dati in settori regolamentati come enti pubblici, servizi finanziari e istituti sanitari.

Ad esempio, impedire l'accesso ai dati sensibili consente di proteggere l'identità digitale dei cittadini da tutte le parti coinvolte, incluso il provider di servizi cloud che lo archivia. Gli stessi dati sensibili potrebbero contenere dati biometrici usati per trovare e rimuovere immagini note di sfruttamento dei bambini, prevenire il traffico di esseri umani e aiutare le indagini forensi digitali.

Screenshot che mostra i casi d'uso per il confidential computing di Azure, inclusi scenari per enti pubblici, servizi finanziari e sanitari.

Questo articolo offre una panoramica di diversi scenari comuni. Le raccomandazioni contenute in questo articolo fungono da punto di partenza per lo sviluppo dell'applicazione usando i servizi e i framework di confidential computing.

Dopo aver letto questo articolo, è possibile rispondere alle domande seguenti:

  • Quali sono alcuni scenari per il confidential computing di Azure?
  • Quali sono i vantaggi dell'uso del confidential computing di Azure per scenari multiparty, della privacy dei dati dei clienti avanzata e delle reti blockchain?

Calcolo multiparty sicuro

Le transazioni aziendali e la collaborazione di progetti richiedono la condivisione di informazioni tra più parti. Spesso i dati condivisi sono riservati. I dati potrebbero essere informazioni personali, registri finanziari, cartelle cliniche o dati privati dei cittadini.

Le organizzazioni pubbliche e private richiedono che i dati siano protetti da accessi non autorizzati. A volte queste organizzazioni vogliono anche proteggere i dati da operatori o ingegneri dell'infrastruttura di elaborazione, architetti della sicurezza, consulenti aziendali e data scientist.

Ad esempio, l'uso di Machine Learning per i servizi sanitari è cresciuto in modo significativo grazie all'accesso a set di dati più grandi e immagini dei pazienti acquisiti dai dispositivi medici. La diagnosi delle malattie e lo sviluppo di farmaci traggono vantaggio da più origini dati. Gli ospedali e gli istituti sanitari possono collaborare condividendo le cartelle cliniche dei pazienti con un ambiente di esecuzione attendibile centralizzato( TEE).

Servizi di Machine Learning che vengono eseguiti nel TEE per aggregare e analizzare i dati. Questa analisi aggregata dei dati può offrire una maggiore accuratezza della stima a causa dei modelli di training basati su set di dati consolidati. Con il confidential computing, gli ospedali possono ridurre al minimo il rischio di compromettere la privacy dei pazienti.

Il confidential computing di Azure consente di elaborare i dati provenienti da più origini senza esporre i dati di input ad altre parti. Questo tipo di calcolo sicuro consente scenari come il riciclaggio di denaro, il rilevamento delle frodi e l'analisi sicura dei dati sanitari.

Più fonti possono caricare i dati in un ambiente isolato in una macchina virtuale. Una parte indica all'enclave di eseguire operazioni di calcolo o elaborazione sui dati. Nessuna delle parti (nemmeno quella che esegue l'analisi) può visualizzare i dati di un'altra parte caricati nell'enclave.

Nel calcolo multiparty sicuro, i dati crittografati vengono inseriti nell'enclave. L'enclave decrittografa i dati usando una chiave, esegue un'analisi, ottiene un risultato e restituisce un risultato crittografato che un'entità può decrittografare con la chiave designata.

Antiriciclaggio di denaro

In questo esempio di calcolo multiparty sicuro, più banche condividono i dati tra loro senza esporre i dati personali dei clienti. Le banche eseguono analisi concordate sul set di dati sensibile combinato. L'analisi sul set di dati aggregato può rilevare lo spostamento di denaro da un utente tra più banche, senza che le banche acceda ai dati dell'altro.

Tramite il confidential computing, questi istituti finanziari possono aumentare i tassi di rilevamento delle frodi, affrontare scenari di riciclaggio di denaro, ridurre i falsi positivi e continuare a imparare da set di dati più grandi.

Grafico che illustra la condivisione dei dati tra più parti per le banche, mostrando come il confidential computing abilita il movimento dei dati.

Sviluppo di farmaci nel settore sanitario

Le strutture sanitarie partner contribuiscono ai set di dati sanitari privati per eseguire il training di un modello di Machine Learning. Ogni struttura può visualizzare solo il proprio set di dati. Nessun'altra struttura, o anche il provider di servizi cloud, può visualizzare i dati o il modello di training. Tutte le strutture traggono vantaggio dall'utilizzo del modello sottoposto a training. Quando il modello viene creato con più dati, il modello diventa più accurato. Ogni struttura che contribuisce al training del modello può usarla e ricevere risultati utili.

Diagramma che mostra scenari sanitari riservati, che mostra la verifica tra gli scenari.

Protezione della privacy con soluzioni IoT e per l'edilizia intelligente

Molti paesi o aree geografiche hanno leggi rigorose sulla privacy sulla raccolta e sull'uso dei dati sulla presenza e sui movimenti delle persone all'interno degli edifici. Questi dati possono includere informazioni che sono dati personali provenienti da scansioni CCTV (Closed Circuit Television) o badge di sicurezza. Oppure potrebbe essere identificabile indirettamente, ma se raggruppati insieme a diversi set di dati del sensore, potrebbe essere considerato identificabile personalmente.

La privacy deve essere bilanciata con i costi e le esigenze ambientali negli scenari in cui le organizzazioni vogliono comprendere l'occupazione o il movimento per fornire l'uso più efficiente dell'energia per riscaldare e accendere un edificio.

Determinare quali aree del patrimonio immobiliare aziendale sono sotto o sovraccupied dal personale dei singoli reparti richiede in genere l'elaborazione di alcuni dati personali insieme a dati meno individuali, ad esempio sensori di temperatura e luce.

In questo caso d'uso, l'obiettivo principale è consentire l'analisi dei dati di occupazione e dei sensori di temperatura da elaborare insieme ai sensori di traccia del movimento CCTV e ai dati di scorrimento rapido tramite badge per comprendere l'utilizzo senza esporre i dati aggregati non elaborati a chiunque.

Il confidential computing viene usato qui inserendo l'applicazione di analisi all'interno di un ambiente tee in cui i dati in uso sono protetti dalla crittografia. In questo esempio l'applicazione viene eseguita in contenitori riservati in Istanze di Azure Container.

I set di dati aggregati di molti tipi di sensori e feed di dati vengono gestiti in un database SQL di Azure con la funzionalità Always Encrypted con enclave sicuri. Questa funzionalità protegge le query in uso crittografandole in memoria. L'amministratore del server non può accedere al set di dati di aggregazione durante la query e l'analisi.

Diagramma che mostra diversi sensori che alimentano una soluzione di analisi all'interno di un ambiente tee. Gli operatori non hanno accesso ai dati in uso all'interno dell'ambiente tee.

I requisiti legali o normativi vengono comunemente applicati ai Servizi Finanziari e al Settore Sanitario per limitare la posizione in cui determinati carichi di lavoro vengono elaborati e archiviati in stato di quiete.

In questo caso d'uso, le tecnologie di computing riservato di Azure vengono usate con Policy di Azure, gruppi di sicurezza di rete (NSG) e accesso condizionale di Microsoft Entra per garantire che vengano soddisfatti gli obiettivi di protezione seguenti per il rehosting di un'applicazione esistente.

  • L'applicazione è protetta dall'operatore cloud durante l'uso tramite confidential computing.
  • Le risorse dell'applicazione vengono distribuite solo nell'area di Azure Europa occidentale.
  • I consumatori dell'applicazione che si autenticano con protocolli di autenticazione moderni vengono associati alla regione sovrana da cui si connettono. L'accesso viene negato a meno che non si trovano in un'area consentita.
  • L'accesso tramite protocolli amministrativi(ad esempio Remote Desktop Protocol e il protocollo Secure Shell) è limitato all'accesso da Azure Bastion, integrato con Privileged Identity Management (PIM). I criteri PIM richiedono criteri di accesso condizionale di Microsoft Entra che convalidano l'area sovrana da cui l'amministratore accede.
  • Tutti i servizi registrano le azioni in Monitoraggio di Azure.

Diagramma che mostra i carichi di lavoro protetti dal confidential computing di Azure e integrati con la configurazione di Azure, inclusi Criteri di Azure e l'accesso condizionale di Microsoft Entra.

Produzione: protezione IP

Le organizzazioni manifatturiere proteggono la proprietà intellettuale dei loro processi e tecnologie manifatturiere. Spesso la produzione viene esternalizzata a parti non Microsoft che gestiscono processi di produzione fisici. Queste aziende possono essere considerate ambienti ostili in cui ci sono minacce attive per rubare l'INDIRIZZO IP.

In questo esempio Tailspin Toys sta sviluppando una nuova linea giocattolo. Le dimensioni specifiche e i design innovativi dei suoi giocattoli sono proprietari. L'azienda vuole mantenere i disegni al sicuro, ma anche essere flessibile su quale azienda sceglie di produrre fisicamente i suoi prototipi.

Contoso, un'azienda di stampa e test 3D di alta qualità, fornisce i sistemi che stampano fisicamente prototipi su larga scala e li esegue tramite test di sicurezza necessari per le approvazioni di sicurezza.

Contoso distribuisce applicazioni e dati in contenitori gestiti dal cliente all'interno del tenant contoso, che usa i suoi macchinari di stampa 3D tramite un'API di tipo IoT.

Contoso usa i dati di telemetria dei sistemi di produzione fisici per gestire i sistemi di fatturazione, pianificazione e ordinamento dei materiali. Tailspin Toys utilizza i dati di telemetria della suite di applicazioni per determinare come con successo i suoi giocattoli possono essere prodotti e i tassi di difetto.

Gli operatori Contoso possono caricare la suite di applicazioni Tailspin Toys nel tenant Contoso usando le immagini dei container fornite tramite Internet.

I criteri di configurazione di Tailspin Toys impongono la distribuzione sull'hardware abilitato con confidential computing. Di conseguenza, tutti i server delle applicazioni e i database di Tailspin Toys sono protetti durante l'uso dagli amministratori di Contoso anche se sono in esecuzione nel tenant di Contoso.

Ad esempio, un amministratore senza autorizzazione di Contoso potrebbe provare a spostare i container forniti da Tailspin Toys su un hardware di calcolo x86 generico che non è in grado di fornire un TEE. Questo comportamento potrebbe significare la potenziale esposizione di indirizzi IP riservati.

In questo caso, il motore dei criteri dell'istanza di Azure Container rifiuta di rilasciare le chiavi di decrittografia o avviare i contenitori se la chiamata di attestazione rivela che i requisiti dei criteri non possono essere soddisfatti. L'IP di Tailspin Toys è protetta in uso e a riposo.

L'applicazione Tailspin Toys stessa viene codificata per effettuare periodicamente una chiamata al servizio di attestazione e segnalare i risultati a Tailspin Toys su Internet per garantire che ci sia un heartbeat continuo dello stato di sicurezza.

Il servizio di attestazione restituisce i dettagli con firma crittografica dall'hardware che supporta il tenant di Contoso per verificare che il carico di lavoro sia in esecuzione all'interno di un'enclave confidenziale come previsto. L'attestazione è esterna al controllo degli amministratori di Contoso ed è basata sulla radice hardware di attendibilità offerta dal confidential computing.

Diagramma che mostra un provider di servizi che gestisce una suite di controlli industriali da un produttore di giocattoli all'interno di un TEE.

Privacy dei dati dei clienti migliorata

Anche se il livello di sicurezza fornito da Azure sta diventando rapidamente uno dei principali fattori chiave per l'adozione del cloud computing, i clienti considerano attendibili i propri provider in misura diversa. I clienti chiedono:

  • Hardware, software e basi di elaborazione attendibili operative minime per carichi di lavoro sensibili.
  • Applicazione tecnica anziché solo criteri e processi aziendali.
  • Trasparenza sulle garanzie, sui rischi residui e sulle mitigazioni che ottengono.

Il confidential computing consente ai clienti di controllare in modo incrementale il TCB usato per eseguire i carichi di lavoro cloud. I clienti possono definire con precisione tutto l'hardware e il software che hanno accesso ai carichi di lavoro (dati e codice). Il confidential computing di Azure fornisce i meccanismi tecnici per applicare in modo verificabile questa garanzia. In breve, i clienti mantengono il pieno controllo sui loro segreti.

Sovranità dei dati

Nel governo ed enti pubblici, la computazione sicura di Azure aumenta il livello di fiducia nella capacità della soluzione di garantire la sovranità dei dati nel cloud pubblico. Grazie all'adozione crescente delle funzionalità di confidential computing nei servizi PaaS in Azure, si ottiene un livello di attendibilità maggiore con un effetto ridotto sulla capacità di innovazione offerta dai servizi cloud pubblici.

Il confidential computing di Azure è una risposta efficace alle esigenze di sovranità e trasformazione digitale dei servizi governativi.

Catena ridotta di attendibilità

A causa dell'investimento e dell'innovazione nel confidential computing, il provider di servizi cloud viene ora rimosso dalla catena di trust a un livello significativo.

Il confidential computing può espandere il numero di carichi di lavoro idonei per la distribuzione del cloud pubblico. Il risultato è l'adozione rapida dei servizi pubblici per le migrazioni e i nuovi carichi di lavoro, che migliora il comportamento di sicurezza dei clienti e consente rapidamente scenari innovativi.

Scenari BYOK (Porta la tua chiave)

L'adozione di moduli di protezione hardware (HSM) come il modulo di protezione hardware gestito di Azure Key Vault consente il trasferimento sicuro di chiavi e certificati nell'archiviazione cloud protetta. Con un modulo di protezione hardware, il provider di servizi cloud non è autorizzato ad accedere a tali informazioni riservate.

I segreti che vengono trasferiti non esistono mai all'esterno di un modulo di protezione hardware in forma di testo in chiaro. Gli scenari per la sovranità delle chiavi e dei certificati generati e gestiti dal client possono comunque usare l'archiviazione sicura basata sul cloud.

Proteggere la blockchain

Una rete blockchain è una rete di nodi decentralizzata. Questi nodi vengono eseguiti e gestiti da operatori o validator che vogliono garantire l'integrità e raggiungere il consenso sullo stato della rete. I nodi sono repliche di ledgger e vengono usati per tenere traccia delle transazioni blockchain. Ogni nodo ha una copia completa della cronologia delle transazioni, che consente di garantire l'integrità e la disponibilità in una rete distribuita.

Le tecnologie blockchain basate sul confidential computing possono usare la privacy basata su hardware per abilitare la riservatezza dei dati e l'elaborazione sicura. In alcuni casi, l'intero libro mastro viene crittografato per salvaguardare l'accesso ai dati. A volte la transazione può verificarsi all'interno di un modulo di calcolo all'interno dell'enclave all'interno del nodo.