Is confidential computing een hype, of is het eerder een realiteit? Organisaties die data gebruiken, verwerken die met computers. Op het moment dat ze de data gebruiken is deze ook potentieel uit te lezen door gebruikers. Wie confidential computing toepast, zorgt ervoor dat de uitgevoerde data te allen tijde beschermd is tegen aanpassingen of zelfs het lezen ervan.

In een sterk globaliserende wereld – tegelijkertijd een wereld waarin hackers steeds actiever zijn – kiezen steeds meer organisaties ervoor om strenge securitymaatregelen te nemen. In sommige sectoren nemen organisaties dat onderwerp extreem serieus. Denk hierbij aan overheden, maar ook aan instellingen binnen de zorg. De Vlaamse overheid is gestart met een confidential computing proof-of-concept en heeft daar inmiddels ook al een vervolg aan gegeven.

Wat is confidential computing precies?

Confidential computing is de benaming voor het veilig maken van data in gebruik. Intel omschreef het al eens als ‘handelingen die ervoor zorgen dat versleutelde data in het geheugen is te verwerken zonder dat er een blootstelling van de data is aan de rest van het in gebruik zijnde IT-systeem’. Wie kiest voor confidential computing, plaatst een stuk van de code of een hele applicatie in een ‘enclave’. Dat is een muur die om de code en de data in gebruik staat. Dankzij de sterk toenemende aandacht voor cloud computing neemt ook de interesse in confidential computing toe. De reden: confidential computing is eenvoudiger in te regelen in een cloudomgeving dan binnen een on-premise situatie. Sommige brokjes data moeten daarbij koste wat kost afgeschermd blijven van kwaadwillenden, terwijl ze toch door vooraf bepaalde sleutelpersonen en met behulp van code zijn in te zien.

Sleutelrol voor confidential machine

Het aantal organisaties dat nu al volop met confidential computing bezig is, is nog beperkt. Het is een nichemarkt, maar wel een die vermoedelijk snel zal groeien. Wie er in de dagelijkse praktijk mee aan de slag gaat, maakt gebruik van een computer of processor waarin de data veilig is weer te geven. Als een organisatie met die specifieke data iets wil doen, moet het dat binnen die machine uitvoeren.

Voor wie is confidential computing interessant?

Overheidsdiensten en zorginstellingen tonen duidelijk interesse in confidential computing. Zo zijn zorginstellingen op zoek naar manieren die zekerheid bieden over de controle op patiëntgegevens. Nu bestaat er nog de kans dat met behulp van malware data op websites die in gebruik zijn, is uit te lezen. Bijvoorbeeld informatie over wie wel of niet is gevaccineerd tegen COVID-19. Enerzijds willen organisaties dat gegevens online staan en zijn in te zien, anderzijds willen ze de garantie dat alleen de juiste personen hier toegang tot hebben. Daarbij is er nog de uitdrukkelijke wens bij zorginstellingen dat bedrijven als Facebook niet bij persoonsgevoelige data kunnen.

Zijn er use cases?

De Vlaamse overheid is met een confidential computing proof-of-concept gestart. De instantie heeft aangegeven deels over te willen stappen naar de cloud, maar weet niet zeker of het Microsoft op alle vlakken kan vertrouwen. Niet dat het twijfelt aan de goede intenties van de leverancier, maar ook die heeft te maken met een op de achtergrond spelende Patriot Act. Deze wet stelt de Amerikaanse overheid onder andere in staat is om informatie – dus ook confidentiële data – op te vragen in geval van mogelijk terrorisme. Of het gaat om daadwerkelijk terrorisme of dat het een gevoel is, maakt daarbij weinig verschil. De Vlaamse overheid onderzoekt hoe deze vorm van computing kan leiden tot meer afschermmogelijkheden voor bijvoorbeeld beveiligingspersonen en defensiepersoneel. De overheid wil kunnen bepalen wie wel en geen toegang heeft tot de data. Microsoft en de Amerikaanse overheid horen daar niet bij. De drempel voor toegang of het overzetten van deze data is nu te laag. Confidential computing geeft juist een extra beschermingslaag.

Van on-premise naar de cloud

De focus bij het werken op basis van confidential computing ligt op de cloud. Dat zou een trendbreuk betekenen met de huidige werkwijze waarbij vertrouwelijke data met behulp van een hostingpartner wordt beveiligd en dit dus on-premise gebeurt. Bij een overstap naar de cloud ontstaan er nieuwe mogelijkheden. Dit zijn de belangrijkste voordelen van cloud ten opzichte van on-premises:

  • Een confidential machine is eenvoudig op te zetten en te beheren.
  • Piekbelasting in de cloud is sneller te mitigeren door scaling.
  • Security audits op de omgeving zijn automatisch en periodiek in te regelen
  • De Total Cost of Ownership (TCO) van een cloudplatform is lager

Hype of realiteit?

Een paar jaar geleden doken er voorbeelden op van data uit het ene softwareprogramma dat met behulp van CPU-instructies data uit een ander programma kon uitlezen. Op dit moment zorgen CPU-producenten, zoals Intel en AMD, ervoor dat dit niet meer mogelijk is. Toch is het zaak om alert te blijven en data te beschermen. Vertrouwelijke data moet veilig zijn, op alle plaatsen waar deze langskomt. Dus ook als deze een printerdriver passeert die te hacken is. Staat de data die je hiervoor gebruikt binnen de confidential machine, dan is deze veilig en alleen met de juiste code te gebruiken. Confidential computing is langzaam bezig aan een opmars, maar er hangt wel een stevig kostenplaatje aan. De verwachting is dat de prijs afneemt in de toekomst als confidential computing verandert in een commodity. Daarmee is het eerder een realiteit dan een hype.

Dit is een ingezonden bijdrage van Tim Geerts, Consultant bij Info Support, & Elien Callens, Software Engineer bij Info Support. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.