Descripción general

Actualmente, es una práctica común cifrar los datos cuando se almacenan o transmiten, pero a menudo se descuida el cifrado de los datos en uso, específicamente en la memoria. Además, la infraestructura informática convencional carece de mecanismos sólidos para salvaguardar los datos y el código durante su uso activo. Esto plantea un desafío para las organizaciones que manejan información confidencial como información de identificación personal (PII), datos financieros o registros médicos, ya que deben abordar amenazas potenciales que podrían comprometer la confidencialidad y la integridad tanto de la aplicación como de los datos que residen en la memoria del sistema. La informática confidencial protege los datos en uso al realizar el cálculo en un entorno de ejecución confiable certificado y basado en hardware. Al establecer entornos seguros y aislados, las organizaciones pueden mejorar eficazmente la seguridad de sus operaciones que involucran datos confidenciales y regulados. Estos entornos controlados garantizan que se evite el acceso no autorizado o las modificaciones de las aplicaciones y los datos durante su uso activo. Como resultado, la postura general de seguridad de estas organizaciones es significativamente elevada.

Introducción

La informática abarca tres estados distintos de los datos: durante el tránsito, en reposo y en uso. Cuando los datos se mueven activamente a través de una red, se consideran "en tránsito". Los datos que se almacenan y a los que no se accede activamente se denominan "en reposo". Por último, los datos que se procesan o utilizan se clasifican como "en uso". En nuestra era moderna, donde el almacenamiento, el consumo y el intercambio de datos confidenciales se han vuelto algo común, salvaguardar dichos datos en todos sus estados se ha vuelto cada vez más crucial. Esto se refiere a una amplia gama de información confidencial, incluidos datos de tarjetas de crédito, registros médicos, configuraciones de firewall e incluso datos de geolocalización. Actualmente, la criptografía se utiliza comúnmente para proporcionar confidencialidad de los datos (evitar la visualización no autorizada) e integridad de los datos (prevenir o detectar cambios no autorizados). Si bien ahora se utilizan comúnmente técnicas para proteger los datos en tránsito y en reposo, el tercer estado (proteger los datos en uso) es la nueva frontera.

Riesgos de seguridad por datos desprotegidos “en uso”

A medida que los vectores de amenaza contra la red y los dispositivos de almacenamiento se ven cada vez más frustrados por las protecciones que se aplican a los datos en tránsito y en reposo, los atacantes han pasado a apuntar a los datos en uso. La industria fue testigo de varios robos de memoria de alto perfil, como la violación de Target, y ataques al canal del lado de la CPU que han aumentado dramáticamente la atención a este tercer estado, así como varios ataques de alto perfil que involucran inyección de malware, como el ataque Triton y El ataque a la red eléctrica de Ucrania.

La protección avanzada contra malware es un tipo de solución de protección y análisis de malware altamente desarrollada, incorporada y basada en inteligencia de clase empresarial. También brinda a los equipos de seguridad el nivel de visibilidad y control profundos que se necesitan para detectar rápidamente ataques, cooperar y controlar el malware antes de que cause daños. Según el análisis realizado por Data Bridge Market Research, el tamaño del mercado de protección avanzada contra malware está valorado en USD 8.901,17 millones para 2028 y se espera que crezca a una tasa de crecimiento anual compuesta del 14,30% en el período previsto de 2021 a 2028. Data Bridge Market Research El informe sobre protección avanzada contra malware proporciona análisis e información sobre los diversos factores que se espera que prevalezcan durante el período previsto, al tiempo que proporciona sus impactos en el crecimiento del mercado.

https://www.databridgemarketresearch.com/es/reports/global-advanced-malware-protection-market

A medida que la cantidad de datos almacenados y procesados ​​en dispositivos móviles, perimetrales y de IoT continúa creciendo, garantizar la seguridad de los datos y las aplicaciones durante la ejecución se vuelve más crítico. Estos dispositivos suelen funcionar en entornos remotos y desafiantes, lo que dificulta mantener su seguridad. Además, considerando la naturaleza personal de la información almacenada en dispositivos móviles, los fabricantes y proveedores de sistemas operativos móviles deben demostrar que los datos personales están protegidos y permanecen inaccesibles para los proveedores de dispositivos y terceros durante el intercambio y el procesamiento. Estas protecciones deben cumplir con los requisitos reglamentarios. Incluso en situaciones en las que usted tiene control sobre su infraestructura, salvaguardar sus datos más confidenciales mientras se utilizan es un componente esencial de una estrategia sólida de defensa en profundidad.

Confidential Computing aprovecha los entornos de ejecución confiable (TEE) basados ​​en hardware para salvaguardar los datos durante su uso activo. Al adoptar la informática confidencial, podemos mitigar eficazmente muchas de las amenazas analizadas anteriormente. Un entorno de ejecución confiable (TEE) es un entorno que garantiza un alto nivel de garantía en términos de integridad de datos, confidencialidad de datos e integridad del código. Al utilizar técnicas respaldadas por hardware, un TEE proporciona garantías de seguridad mejoradas para ejecutar código y proteger datos dentro del entorno.

En el contexto de la informática confidencial, las entidades no autorizadas incluyen otras aplicaciones en el host, el sistema operativo del host, el hipervisor, los administradores del sistema, los proveedores de servicios y el propietario de la infraestructura, junto con cualquier persona que tenga acceso físico al hardware. La confidencialidad de los datos garantiza que estas entidades no autorizadas no puedan acceder a los datos mientras se utilizan dentro del entorno de ejecución confiable (TEE). La integridad de los datos protege contra modificaciones no autorizadas de los datos durante el procesamiento por parte de entidades fuera del TEE. La integridad del código garantiza que entidades no autorizadas no puedan reemplazar ni modificar el código dentro del TEE. En conjunto, estos atributos no solo aseguran la confidencialidad de los datos sino que también aseguran la exactitud de los cálculos, infundiendo confianza en los resultados de los cálculos. Este nivel de seguridad suele estar ausente en los enfoques que no utilizan un TEE basado en hardware.

La siguiente tabla compara una implementación TEE típica con implementaciones típicas de otras dos clases emergentes de soluciones que protegen los datos en uso, el cifrado homomórfico (HE) y los módulos de plataforma segura (TPM).

Tabla 1: comparación de las propiedades de seguridad de la informática confidencial frente a HE y TPM

 

TEE HW

Cifrado homomórfico

TPM

Integridad de los datos

Y

Y (sujeto a la integridad del código)

Sólo llaves

Confidencialidad de los datos

Y

Y

Sólo llaves

Integridad del código

Y

No

Y

Confidencialidad del código

Y (puede requerir trabajo)

No

Y

Lanzamiento autenticado

Varía

No

No

Programabilidad

Y

Parcial ("circuitos")

No

Atestabilidad

Y

No

Y

Recuperabilidad

Y

No

Y

Entornos de ejecución confiables (TEE)

Según la CCC (siguiendo prácticas comunes de la industria), un entorno de ejecución confiable (TEE) se caracteriza por tres propiedades esenciales, que son las siguientes:

Fig. Características del entorno de ejecución confiable (TEE)

Confidential Computing: The Future of Cloud Computing Security

Las entidades no autorizadas abarcan varios actores, como otras aplicaciones en el host, el sistema operativo y el hipervisor del host, administradores de sistemas, proveedores de servicios, el propietario de la infraestructura o cualquier otra persona que acceda físicamente al hardware. Estas propiedades en conjunto aseguran tanto la confidencialidad de los datos como la precisión de los cálculos realizados dentro del TEE, infundiendo así confianza en los resultados de los cálculos.

Además, dependiendo de la implementación TEE específica, puede ofrecer características adicionales, que incluyen:

Los TEE basados ​​en hardware aprovechan las técnicas respaldadas por hardware para proporcionar mayores garantías de seguridad para la ejecución de código y la protección de datos dentro del TEE. Este nivel de seguridad suele estar ausente en los enfoques que no se basan en un TEE basado en hardware.

Beneficios de la informática confidencial

La informática confidencial ofrece numerosas ventajas a las organizaciones preocupadas por la privacidad y la seguridad de los datos.

Fig. Beneficios de la informática confidencial

Confidential Computing: The Future of Cloud Computing Security

Implementación de informática confidencial

La implementación de la informática confidencial requiere una planificación y consideración cuidadosas.

La siguiente tabla muestra cómo se compara la escalabilidad en varias métricas entre la informática clásica, la informática que utiliza un TEE típico basado en hardware y el cifrado homomórfico. Al igual que con la comparación de seguridad, las respuestas reales pueden variar según el proveedor, el modelo o el algoritmo.

Tabla 2: Comparación de las propiedades de escalabilidad de Confidential Computing frente a HE y TPM

Propiedades

Nativo

TEE HW

Cifrado homomórfico

Límites de tamaño de datos

Alto

Medio

Bajo

Velocidad de cálculo

Alto

Medio-alto

Bajo

Ampliación horizontal en todas las máquinas

Mas trabajo

Capacidad para combinar datos entre conjuntos (MPC)

Muy limitado

Desafíos en la implementación

Si bien la informática confidencial aporta importantes beneficios, las organizaciones deben abordar varios desafíos al implementarla.

Estrategias clave

Intel anuncia nuevas iniciativas de informática confidencial. Intel anunció una serie de nuevas iniciativas informáticas confidenciales el 25 de enero de 2023. Estas iniciativas incluyen:

Google anuncia plataforma en la nube confidencial. Google anunció la disponibilidad general de su Confidential Cloud Platform el 1 de febrero de 2023. Confidential Cloud Platform es un conjunto de servicios que ayuda a las organizaciones a proteger datos confidenciales en la nube. Estos servicios incluyen:

Microsoft anuncia informática confidencial para Azure. Microsoft anunció que traerá la informática confidencial a Azure el 3 de febrero de 2023. La informática confidencial para Azure es un conjunto de servicios que ayudan a las organizaciones a proteger datos confidenciales en la nube. Estos servicios incluyen:

Estos son algunos ejemplos de iniciativas estratégicas clave que se han anunciado recientemente relacionadas con la informática confidencial. Estas iniciativas están diseñadas para ayudar a las organizaciones a adoptar tecnologías informáticas confidenciales y proteger datos confidenciales en la nube.

Casos de uso del mundo real

La informática confidencial encuentra aplicaciones prácticas en diversas industrias, lo que permite a las organizaciones proteger datos confidenciales y garantizar la privacidad.

Fig. Casos de uso del mundo real

Confidential Computing: The Future of Cloud Computing Security

Almacenamiento y procesamiento de claves, secretos, credenciales y tokens:

Las claves criptográficas, los secretos, las credenciales y los tokens son las “llaves del reino” para las organizaciones responsables de proteger los datos confidenciales. Tradicionalmente, los módulos de seguridad de hardware (HSM) locales se utilizaban para cumplir con los estándares de seguridad y garantizar la seguridad de estos activos. Sin embargo, la naturaleza patentada de los HSM tradicionales limitó su escalabilidad y compatibilidad con entornos de computación de borde y de nube, lo que generó mayores costos y desafíos de implementación. La informática confidencial aborda estas limitaciones mediante el uso de una infraestructura informática estandarizada disponible en las instalaciones, en nubes públicas/híbridas e incluso en el borde de la red para casos de uso de IoT. Los proveedores de software independientes (ISV) y las grandes organizaciones ya han adoptado la informática confidencial para almacenar y procesar de forma segura información criptográfica y secreta. Las aplicaciones de administración de claves aprovechan los entornos de ejecución confiables (TEE) basados ​​en hardware para almacenar y procesar estos activos, garantizando la confidencialidad, la integridad y la integridad del código de los datos. La seguridad lograda a través de la informática confidencial es comparable a la de los HSM tradicionales, lo que proporciona una solución más escalable y rentable para almacenar y procesar información confidencial.

Casos de uso de la nube pública:

En los entornos de nube pública tradicionales, la confianza se deposita en múltiples capas dentro de la infraestructura del proveedor de la nube. Confidential Computing introduce garantías de protección adicionales al reducir la cantidad de capas en las que los usuarios finales deben confiar. Con entornos de ejecución confiables (TEE) basados ​​en hardware que protegen las aplicaciones y los datos en uso, los actores no autorizados, incluso con acceso físico o privilegiado, enfrentan desafíos importantes para acceder a códigos y datos de aplicaciones protegidos. Confidential Computing tiene como objetivo eliminar al proveedor de la nube de Trusted Computing Base, permitiendo que las cargas de trabajo que antes estaban limitadas por preocupaciones de seguridad o requisitos de cumplimiento se migren de forma segura a la nube pública.

Computación multipartita

A medida que surgen nuevos paradigmas informáticos que permiten compartir datos y poder de procesamiento entre múltiples partes, garantizar la confidencialidad y la integridad de los datos confidenciales o regulados se vuelve crucial. Confidential Computing proporciona una solución para que las organizaciones compartan y analicen datos de forma segura sin comprometer su privacidad, incluso en plataformas que no son de confianza. El análisis privado multipartito se puede aplicar en diversos dominios, como servicios financieros, atención médica y gobierno, para combinar y analizar datos privados sin exponer datos subyacentes o modelos de aprendizaje automático. Con Confidential Computing, los datos permanecen protegidos contra manipulaciones y compromisos, incluso de amenazas internas, lo que garantiza una colaboración segura y desbloquea el potencial del intercambio global de datos al tiempo que mitiga los riesgos regulatorios, de seguridad y de privacidad.

cadena de bloques

Las cadenas de bloques proporcionan un libro de contabilidad inmutable para registrar y validar transacciones sin la necesidad de una autoridad centralizada. Si bien ofrecen transparencia y coherencia de los datos, almacenar datos confidenciales en la cadena de bloques inmutable plantea problemas de privacidad. La informática confidencial puede mejorar las implementaciones de blockchain aprovechando los entornos de ejecución confiables (TEE) basados ​​en hardware. Los TEE permiten a los usuarios ejecutar contratos inteligentes de forma segura, garantizando la privacidad de los datos, la escalabilidad y la optimización de la verificación. Los servicios de certificación basados ​​en TEE brindan pruebas de confiabilidad para las transacciones, eliminando la necesidad de que cada participante valide de forma independiente los datos históricos. Además, la informática confidencial aborda las ineficiencias computacionales y de comunicación asociadas con los protocolos de consenso en los sistemas blockchain.

Dispositivos informáticos móviles y personales

La informática confidencial en los dispositivos de los clientes ofrece casos de uso que brindan garantías de privacidad e integridad de los datos. Los desarrolladores de aplicaciones y fabricantes de dispositivos pueden garantizar que los datos personales no sean observables durante el intercambio o el procesamiento, eliminando la responsabilidad de los fabricantes. Los entornos de ejecución confiables (TEE) permiten la verificación formal de la corrección funcional, lo que permite a los desarrolladores demostrar que los datos del usuario no han salido del dispositivo. Por ejemplo, las implementaciones de autenticación continua pueden operar dentro de un TEE para identificar a los usuarios sin exponer datos biométricos o de comportamiento confidenciales. De manera similar, la capacitación descentralizada de modelos en el dispositivo puede mejorar los modelos y compartir mejoras sin filtrar datos de capacitación, proporcionando políticas y restricciones controladas por el usuario a través de la certificación mutua en un TEE basado en hardware.

Casos de uso de Edge e IoT:

La informática confidencial encuentra casos de uso valiosos en entornos perimetrales y de IoT donde la privacidad y la seguridad de los datos son primordiales. Por ejemplo, en escenarios como la búsqueda local y el filtrado dentro de enrutadores domésticos para la detección de DDoS, un entorno informático confidencial puede proteger el comportamiento sensible del usuario inferido de los metadatos de los paquetes TCP/IP. Otros ejemplos incluyen el procesamiento de aprendizaje automático confidencial, como la generación de metadatos de video para reducir la latencia, vigilancia con cámaras CCTV con plantillas de personas de interés y modelos de capacitación en el dispositivo. La tecnología informática confidencial también ayuda a mitigar los ataques que explotan el acceso físico a dispositivos en entornos donde partes no confiables pueden tener acceso físico.

Una colección de datos de registros, una base de datos tecnológica unida entre sí mediante criptografía, se denomina blockchain. Se prevé que las operaciones comerciales transfronterizas en expansión global impulsarán la demanda de esta tecnología. Data Bridge Market Research analiza que el mercado blockchain, valorado en 10.020 millones de dólares en 2022, alcanzará los 766.100 millones de dólares en 2030, creciendo a una tasa compuesta anual del 71,96% durante el período previsto de 2023 a 2030. La aceptación de las criptomonedas por parte de la ley motiva empresas e inversores para aumentar sus inversiones en tecnología blockchain. Además, se prevé que la tecnología blockchain se vuelva más efectiva y eficiente en los esfuerzos de las empresas en breve. DeFi es una nueva tecnología financiera basada en blockchain que reduce el control de los bancos sobre los servicios financieros y el dinero. A lo largo del período de proyección, se anticipa el crecimiento del mercado mediante el aumento de iniciativas estratégicas en el espacio financiero descentralizado.

Tendencias y direcciones futuras

El campo de la informática confidencial está evolucionando rápidamente y se pueden identificar varias tendencias y direcciones futuras.

Conclusión

La informática confidencial ofrece un enfoque innovador para proteger datos confidenciales durante el procesamiento en entornos no confiables. Al combinar principios como el aislamiento de datos, enclaves seguros, certificación, cifrado y minimizar los supuestos de confianza, las organizaciones pueden garantizar la confidencialidad e integridad de sus datos. A pesar de los desafíos relacionados con el rendimiento, la gestión de claves, los sistemas heredados y la portabilidad de las aplicaciones, los beneficios de implementar la informática confidencial son sustanciales. Los casos de uso del mundo real demuestran su valor en la atención médica, las finanzas, la informática de punta y la computación en la nube. Siguiendo las mejores prácticas y considerando las tendencias futuras, las organizaciones pueden adoptar la informática confidencial para salvaguardar sus datos confidenciales y preservar la privacidad en un mundo cada vez más interconectado.


DBMR ha prestado servicios a más del 40% de las empresas Fortune 500 a nivel internacional y tiene una red de más de 5000 clientes. Nuestro equipo estará encantado de ayudarle con sus consultas. Visita, https://www.databridgemarketresearch.com/es/contact

Contáctenos

APRENDE MÁS

Información adicional sobre el impacto y las acciones