.
Cloud slinger Civo se uniu à Intel para permitir que o Kubernetes opere em um enclave seguro usando Software Guard Extensions (SGX) da Intel e pretende disponibilizá-lo para seus clientes de nuvem pública.
A Civo lançou hoje uma versão Alpha de seu sistema Kubernetes operando em um enclave seguro, que fará parte de seu serviço de Computação Confidencial construído em uma solução de segurança baseada em hardware destinada a proteger os dados do cliente enquanto estiver em uso.
Isso foi demonstrado em Civo Navegara primeira conferência de tecnologia da empresa nos Estados Unidos em Tampa, Flórida.
Civoque se concentra exclusivamente em serviços alimentados por Kubernetes (na verdade, a distribuição leve K3S), disponibilizará o serviço em suas opções de computação em nuvem pública e de ponta, com os usuários também podendo comprar racks inteiros de servidores protegidos por Intel SGX e implantá-los em seu próprio ambiente.
SGX é a tecnologia da Intel para proteger dados altamente confidenciais e o código que os processa. O código é colocado em uma área da memória que está fora dos limites de todo o resto, incluindo o sistema operacional ou hipervisor, e os dados confidenciais são descriptografados para processamento apenas uma vez dentro do enclave.
A ideia é que o SGX pode impedir ataques direcionados a dados confidenciais enquanto eles não estão criptografados na memória, em vez de quando estão criptografados com segurança no armazenamento em algum lugar.
No entanto, a tecnologia foi atormentada por várias vulnerabilidades desde sua introdução, que podem ter sido exploradas para expor dados do enclave, como Este ou Estelevando a Intel a emitir atualizações para mitigá-los.
Parece que a Civo pretende permitir que os clientes executem cargas de trabalho inteiras com Kubernetes dentro de enclaves seguros em seu serviço de Computação Confidencial. A empresa disse o Reg que o SGX está sendo usado apenas para proteger os dados do aplicativo do cliente a partir de hoje, mas que o plano de controle do Kubernetes agora também está protegido por um enclave.
A Civo também nos confirmou que estava procurando usar atestado independente para garantir contínua e automaticamente que o plano de controle do K8s está seguro e não foi adulterado.
Essa plataforma foi possibilitada pelos processadores escalonáveis Xeon de 4ª geração da Intel porque esses recursos aumentaram a capacidade de enclave SGX em relação às gerações anteriores, permitindo a criação de mais enclaves e a capacidade de mover mais serviços para enclaves individuais.
Uma vez no enclave, o processo da API do Kubernetes foi verificado na inicialização e permaneceu inalterado e validado durante o tempo de execução. Além disso, os dados no enclave eram criptografados e não podiam ser acessados por qualquer outra pessoa durante os testes, de acordo com Civo.
A empresa nos disse que esse serviço de computação confidencial atende a uma necessidade crescente de tornar as cargas de trabalho operando no Kubernetes mais seguras. A própria pesquisa da Civo descobriu que 53% das empresas estão preocupadas com a segurança do Kubernetes.
“Estamos sempre procurando ultrapassar os limites com conceitos não disponíveis em outros provedores de nuvem, e uma área que estamos vendo uma demanda crescente é por segurança aprimorada do Kubernetes”, disse o CEO Mark Boost em um comunicado.
“Queremos que nossos clientes tenham total confiança de que apenas seus usuários autorizados, e mais ninguém, terão visibilidade total e não criptografada de seus dados”, acrescentou.
A capacidade abre as portas para uma série de possíveis casos de uso em muitos setores, desde áreas como saúde e finanças, que exigem acesso controlado e privilegiado a dados altamente confidenciais, até o suporte a empresas e governos globais na proteção de dados confidenciais ou classificados, afirmou Boost.
Paul O’Neill, Diretor Sênior de Desenvolvimento Estratégico de Negócios no grupo de Computação Confidencial da Intel, disse: “A demonstração de Computação Confidencial no Civo Navigate foi uma vitrine importante para os usuários do que é possível com Computação Confidencial, oferecendo Kubernetes de altíssimo desempenho usando Intel SGX para ajudar a garantir que dados confidenciais e propriedade intelectual sejam protegidos.”
O diretor sênior de pesquisa da IDC Europe, Andrew Buss, disse que qualquer coisa que possa ajudar a melhorar a segurança e o isolamento das cargas de trabalho deve ser aplaudida.
“Os players de nuvem de hiperescala têm oferecido serviços de computação confidencial nos últimos anos, principalmente para grandes clientes corporativos, por isso é bom ver esse tipo de coisa sendo lançada por provedores menores para todos os outros”, disse ele.
No entanto, Buss acrescentou que, para obter uma adoção mais ampla, é preciso haver uma melhor padronização.
“Você tem o SGX da Intel e o SEV da AMD, que diferem na maneira como operam, mas os fornecedores de plataforma precisam criar APIs abertas para acessá-los antes que sejam acessíveis em todas as formas de empresa digital”, disse ele.
A Civo disse que pretende mover esse serviço até agora sem nome para a versão beta pública nos próximos meses, com um lançamento completo previsto para o final deste ano. ®
.
