Daten sind ständig potentiellen Gefahren ausgesetzt, und das auf ganz unterschiedlichen Ebenen. Denn beim Transport, beim Speichern und beim Verarbeiten sind sie ein beliebtes Angriffsziel. Daher sind bestimmte Technologien und Konzepte für ein Höchstmaß an Datenschutz und Datensicherheit unerlässlich. Dieser Beitrag zeigt, wie sich vor allem Cloud-Daten vor unbefugten Zugriffen schützen lassen.
Drei Disziplinen, eine Sorge: Wie lassen sich Daten vor und nach dem Speichern sowie dazwischen bestmöglich absichern. Im Falle der ersten beiden Disziplinen stehen erprobte und bekannte Techniken und Konzepte zur Verfügung. Damit lassen sich Daten während des Datentransports und nach dem Speichern schützen, indem diese oder die gesamte Infrastruktur verschlüsselt werden.
[irp posts=“168336″ ]
Dateninfrastruktur und -transport CPU-basiert sichern
Dazu gehört beispielsweise der Schutz des Rechensystems, das von außen manipuliert werden kann. Gemeint ist unter anderem das Verändern der BIOS-, Betriebssystem- oder Hypervisor-Umgebung. Für den Schutz dieser drei Komponenten steht eine Technik bereit, die sich Intel TXT nennt (Intel Trusted Execution Technology). Damit lässt sich der Schutz der Infrastruktur deutlich erhöhen.
Geht es um den Schutz des Datenbestands, stehen Algorithmen und Techniken wie Intel Crypto Acceleration (Intel CA) zur Verfügung. Damit lassen sich Daten vor unbefugten Zugriffen schützen, während sie zum Beispiel vom Endgerät in der Cloud gespeichert werden.
Hierbei kommt eine Verschlüsselungstechnik namens TLS (Transport Layer Security) zum Einsatz, die vor allem im HTTP-Protokoll ihre Verwendung findet. Und genau hier setzt Intel CA an, und das mithilfe des skalierbaren Intel Xeon Prozessors. Folge: Daten werden deutlich schneller während des Transports verschlüsselt und die „Verschlüsselungskosten“ sinken dadurch.
[irp posts=“168611″ ]
Daten während der Verarbeitung so gut wie möglich schützen
Ein weiterer Angriffspunkt ergibt sich während der Verarbeitung der Daten. Denn zu diesem Zeitpunkt liegen sie entweder unverschlüsselt vor (was ein enormes Risiko darstellt), oder aber die Verschlüsselung der Daten ist derart aufwändig, dass es zu hohen Latenzen beim Ausführen von Applikationen kommt. Beide Szenarien sind unter Aspekten des Datenschutzes und der Datensicherheit nicht akzeptabel.
Um eine bestmögliche Balance aus Sicherheit und Geschwindigkeit erreichen zu können, bietet der skalierbare Intel Xeon Prozessor eine Funktion, die sich Intel SGX (Software Guard eXtensions) nennt. Mithilfe dieser Prozessor-nahen Sicherheitstechnik werden Daten, die im Hauptspeicher verarbeitet werden, vor unbefugten Zugriffen geschützt.
Dieser als Enklave bezeichnete Bereich ist dabei selbst zur Laufzeit vollständig verschlüsselt. Die Daten bleiben damit vom Speicher bis zum Prozessor vertraulich – und das mit nahezu vollständiger Verarbeitungsgeschwindigkeit. Zudem bleiben die Daten für andere Mandanten und Administratoren unsichtbar.
[irp posts=“160053″ ]
Intel Homomorphic Encryption führt zu sicheren Cloud-Daten
Etwas Ähnliches leistet auch eine Technik, die sich Intel Homomorphic Encryption (Intel HE) nennt. Hierfür steht ein Toolkit bereit, das die Intel Prozessor-nahe Technik Intel Advanced Vector Extensions (AVX-512) nutzt.
Der Trick bei HE: Die Verarbeitung findet auf Basis vollständig verschlüsselter Daten statt. Die Nutzung von AVX512 beschleunigt die hierfür benötigten mathematischen Operationen. Damit lässt sich der Rechenzeitaufwand gegenüber einer nicht-optimierten Software deutlich reduzieren. Auf dieser Basis kann aus Homomorphic Encryption langfristig eine produktiv nutzbare Technologie entstehen.
Confidential Computing Consortium setzt auf Intel SGX
Das Confidential Computing Consortium (CCC) vereint Hardware-Hersteller, Cloud Service Provider und Software-Anbieter unter einem Dach. Dort sollen gemeinsam Techniken und Standards entwickelt werden, die ein Konzept unterstützen, das sich Trusted Execution Environment (TEE) nennt. Dahinter verbirgt sich eine wichtige Initiative rund um das Thema Datenschutz und Datensicherheit, die unter anderem von Intel mitgetragen und unterstützt wird.
Gaia-X für eine einheitliche europäische Datensouveränität
Diese und weitere Technologien sowie Konzepte für mehr Datenschutz und Datensouveränität mündeten vor rund zwei Jahren in einem europäschen Projekt namens Gaia-X. Damit soll ein vollständiges Ecosystem geschaffen werden, in dem sich Daten länder- und grenzen-überschreitend austauschen lassen, und das auf Basis vertrauenswürdiger und zuverlässiger Techniken und Konzepte.
Diesem Konsortium gehört auch Intel an, unter anderem vertreten von Markus Leberecht, den ich schon einmal in meinem Podcast-Studio begrüßen durfte. Unser Gespräch damals handelte von sicheren Cloud-Umgebungen, und wie diese erreicht werden können.
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogposts hat mich die Firma Intel beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.