Se imagina lo que sería poder utilizar servicios de nube pública con la tranquilidad de saber que sus datos en movimiento, en reposo y en uso están completamente bajo su control? Eso es exactamente lo que pretende lograr SecuStack al desbloquear los beneficios de la computación en la nube para instituciones gubernamentales e industrias sumamente reguladas. SecuStack, la creación de Secunet Security Networks AG (una empresa líder de ciberseguridad alemana) y Cloud & Heat Technologies GmbH (un proveedor de soluciones de centro de datos escalables, seguras y de bajo consumo de energía) les proporciona computación en la nube a industrias que anteriormente no podían adoptarla debido a regulaciones de seguridad estrictas o falta de confianza.
Desafío
La computación en la nube ofrece costos atractivos, eficiencia operativa y beneficios de escalabilidad, pero algunas industrias, así como las instituciones gubernamentales, no la han podido adoptar ampliamente por cuestiones de seguridad. Sin transparencia en la pila de software y control total de sus datos, la computación en la nube queda fuera del alcance de estas organizaciones.
Solución
Al proporcionar un sistema operativo con seguridad reforzada, SecuStack permite operar una solución de nube moderna de forma local o alojada con confianza a través de una infraestructura como Servicio (IaaS). A diferencia de otros productos de software comercial o proveedores de servicios de nube, ofrece transparencia para la funcionalidad de la pila de software. SecuStack incluye mecanismos criptográficos integrados de forma transparente que ayudan a proteger la transferencia y el almacenamiento de datos, así como la integración de enclaves de Intel® Software Guard Extensions (Intel® SGX) que ayudan a proteger los datos durante el procesamiento en entornos de OpenStack.
Resultados
Ahora, las organizaciones con necesidades de cumplimiento de seguridad estrictas pueden aprovechar todos los beneficios de la computación en la nube, que incluyen la posibilidad de evitar gastos de infraestructura, la reducción de los costos de mantenimiento, una mayor eficiencia operativa, escalabilidad y acceso a las últimas innovaciones de tecnología Intel® para un alto desempeño.
Una Necesidad de Transparencia y Control en la Nube
La nube es un negocio como servicio. En general, los proveedores de servicios de nube les ofrecen a sus clientes servicios e interfaces de programación de aplicaciones (APIs), pero no proporcionan software ni código fuente. Por lo tanto, los consumidores de servicios de nube deben confiar en el proveedor de servicios de nube que ejecuta los servidores, controla la pila de servicio y protege sus datos. La computación en la nube puede ofrecer una variedad de beneficios, como eficiencia y reducción de costos, escalabilidad y capacidades de recuperación ante desastres.1 Sin embargo, la transparencia y el control total de la seguridad de los datos en reposo, en movimiento y en uso es una preocupación para muchas instituciones y agencias gubernamentales e industrias privadas sumamente reguladas, como las de servicios públicos y de atención médica. Históricamente, estas preocupaciones han sido un obstáculo para la adopción de servicios de nube para estas organizaciones. Sin transparencia y control de sus datos, simplemente no pueden aprovechar los beneficios de los servicios de nube externos. La protección de datos mejorada también les permitirá a las empresas de recursos de nube computar sus datos de forma confidencial.
Soberanía Digital en la Nube
SecuStack utiliza procesadores Intel® equipados con Intel® SGX, lo que permite ejecutar servicios de infraestructura críticos, como los de red privada virtual (VPN) y los de administración de identidades y claves, dentro de enclaves aislados de aplicaciones. Los enclaves tienen protecciones que suman integridad y confidencialidad asistida por hardware para ayudar a prevenir el acceso de procesos con niveles de privilegios más altos. Por medio de servicios de autenticación, una relying party (parte que confía) puede recibir una verificación sobre la identidad de un enclave de aplicaciones antes del inicio. Con estas capacidades, las aplicaciones están preparadas para contar con más seguridad. Con la ayuda de la plataforma SCONE de Scontain, los servicios se pueden integrar y ejecutar de forma sencilla dentro de enclaves de Intel® SGX. Funciones como el cifrado de tiempo de ejecución transparente, la administración de secretos y las autorizaciones pueden integrarse de forma conveniente. La combinación de enclaves de Intel® SGX y una capa de infraestructura basada en código abierto reforzada y asegurada de forma criptográfica proporciona protección avanzada, dado que ayuda a aumentar la seguridad y la soberanía de las aplicaciones y los datos, así como la integridad de la capa de infraestructura. Además de la protección de la infraestructura, SecuStack también admite aplicaciones confidenciales nativas de la nube. Por ejemplo, los servicios de aplicaciones pueden ejecutarse en enclaves de Intel® SGX que se ejecutan en un clúster de Kubernetes (consultar la Figura 1). SecuStack también utiliza las Nuevas instrucciones de estándar de cifrado avanzado Intel® (Intel® AES-NI) para acelerar sus procesos de cifrado.
Figura 1. Al aprovechar Intel® Software Guard Extensions (Intel® SGX), el sistema operativo de SecuStack permite contar con computación confidencial en la nube.
La Colaboración Ayuda a Mejorar la Seguridad en la Nube
Al igual que Intel, Secunet cree que la seguridad real no puede lograrse únicamente a través de software o hardware. La seguridad real es el resultado de una combinación de características de software y hardware. Durante décadas, Intel ha estado mejorando características de seguridad de hardware como el arranque seguro y la virtualización en el procesador. Intel® SGX agrega características de seguridad importantes, como enclaves, autenticación, cifrado de memoria y protección de los datos en uso. SecuStack aprovecha todas estas innovaciones de Intel y las combina con una versión con seguridad reforzada de OpenStack. Las dos empresas han colaborado con Scontain, que agregó varias herramientas a la plataforma de SCONE que utilizan Intel® SGX. La cooperación entre las tres empresas ha dado como resultado un sistema operativo de nube verificable y operable que, finalmente, permite incorporar la computación en la nube a casos de uso como los de atención médica, banca, computación multipartita, computación confidencial y el sector público.
Durante el desarrollo de SecuStack, Intel proporcionó recursos educativos a los desarrolladores de SecuStack para que pudieran comprender qué tecnologías Intel® nuevas se preveían para el futuro. Los ingenieros de Intel compartieron información sobre cómo utilizar la tecnología de enclaves para casos de uso de aprendizaje automático e inteligencia artificial (IA) y respondieron preguntas sobre Intel® SGX. Intel también proporcionó acceso anticipado a ofertas de hardware y acceso remoto a laboratorios y tecnología Intel. Intel y Secunet esperan continuar colaborando e invirtiendo en nuevas tecnologías para mejorar aún más la seguridad de la computación en la nube.
“Muchos proveedores de plataformas pueden ofrecer tecnologías de nube o características de inteligencia artificial (IA). Pero Intel es la única empresa que puede proporcionar tecnologías de nube e inteligencia artificial de forma integral y segura.”. —Kai Martius, director técnico de Secunet Security Networks AG
Caso de Uso de SecuStack: Computación Multipartita Confidencial
SecuStack utiliza la plataforma SCONE e Intel® SGX para aplicaciones innovadoras en la nube. Estas aplicaciones incluyen aprendizaje automático y computación multipartita. Algunos de los clientes de salud y ciencias biológicas de SecuStack están utilizando SecuStack para proteger modelos de aprendizaje automático para transferir y procesar datos de los pacientes para aplicaciones de aprendizaje automático federado confidencial. Independientemente de que un proveedor de servicios en la nube sea “de confianza” o no, los datos de entrenamiento, el código y los modelos se mantienen protegidos de su acceso. SecuStack está impulsando investigaciones exhaustivas que podrían dar lugar a interesantes avances en el diagnóstico y el tratamiento de enfermedades.
Caso de uso de SecuStack: Anonimización y Seudonimización de Datos de Video en la Nube
Uno de los clientes de SecuStack está utilizando el ssistema operativo con seguridad reforzada para el aprendizaje federado de modelos de inteligencia artificial (IA) combinando datos de diferentes fuentes sin dejar de mantener su cumplimiento con el Reglamento General de Protección de Datos. Este cliente valora particularmente el hecho de que SecuStack proporcione una gestión completa del ciclo de vida de la infraestructura de nube segura y personalizada. La administración de la infraestructura puede extenderse a clústeres de Kubernetes administrados a través de servicios proporcionados por el socio de SecuStack Cloud&Heat, para respaldar el desarrollo del aprendizaje automático. Conexiones de red privada virtual habilitada (VPN) con seguridad habilitada que sirven para proteger mejor el acceso a datos y la capacidad de almacenar y analizar datos de video sin infringir las normas de protección de datos de la Unión Europea son otras de las características de SecuStack que proporciona un beneficio comercial para este cliente.
“Tenemos una relación excepcional con Intel, que nos proporciona información sobre las tecnologías por venir y soporte de ingeniería. Es importante entender la tecnología y sus límites, saber cómo utilizarla y crear una solución sólida”. —Kai Martius, director técnico de Secunet Security Networks AG
Foco en Secunet Security Networks AG
Secunet Security Networks AG es una empresa líder de ciberseguridad de Alemania. Secunet emplea a más de 700 expertos que fortalecen la soberanía digital tanto de gobiernos como de empresas y la sociedad. La empresa ofrece una combinación productos y servicios de asesoramiento, infraestructuras digitales sólidas y el nivel más alto de seguridad para datos, aplicaciones e identidades digitales. Secunet se especializa en áreas con requisitos de seguridad particulares, como la nube, la Internet de las cosas industrial (IIoT), el aprendizaje automático y los servicios de salud electrónicos. Los clientes de Secunet incluyen ministerios federados de Alemania, organizaciones nacionales e internacionales y más de 20 corporaciones incluidas en el índice bursátil DAX.
Componentes de la Solución
- SO de nube de SecuStack
- Plataforma SCONE de Scontain
- Intel® Software Guard Extensions (Intel® SGX)
- Nuevas instrucciones de estándar de cifrado avanzado Intel® (Intel® AES-NI)
- Kubernetes administrados de Cloud & Heat