Azure Confidential Computing ermöglicht Verschlüsselung in der Cloud

AuthentifizierungSicherheit

Durch eine Zusammenarbeit mit Intel werden die neuen Dienste auch außerhalb von Azure-basierten Systemen verfügbar werden. Anwender können damit verschlüsselte Daten in Public Clouds verarbeiten.

Die Verarbeitung verschlüsselter Daten in der Public Cloud will Microsoft mit dem neuen Service Azure Confidential Computing ermöglichen. Diese Sammlung von Features und Services für mehr Datensicherheit kann jetzt in einem Early-Access-Programm getestet werden. In Kooperation mit Intel können diese Dienste auch außerhalb von Azure-basierten Systemen genutzt werden.

Microsoft startet mit Azure Confidential Computing, einer Lösung für die Datenverschlüsselung in der Cloud. (Bild: Microsoft)
Microsoft startet mit Azure Confidential Computing, einer Lösung für die Datenverschlüsselung in der Cloud. (Bild: Microsoft)

Microsoft-Azure-CTO Mark Russinovich sieht Azure als ersten Cloud-Anbieter solcher Dienste “an der Schnittkante von Cloud-Sicherheit und -Privatsphäre”, die in mehrjähriger Vorarbeit geschaffen wurden. “Das bedeutet, dass Daten in der Cloud verarbeitet werden können mit der Gewissheit, dass sie immer unter der Kontrolle des Kunden sind.” Die Dienste können laut Microsoft Unternehmen aller Größen und Branchen nutzen, auch Unternehmen in stark regulierten Branchen. Denn die Daten werden innerhalb eines Trusted Execution Environment (TEE) – auch als Enklave bekannt – vorgehalten.

Mehr zum Thema

Microsoft, T-Systems und das Datentreuhändermodell

Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?

Unverschlüsselte Daten lassen sich natürlich effizienter Verarbeiten. Das strikte TEE-Prinzip soll jeglichen Einblick Dritter in die Daten verhindern – auch wenn sie über Administrationsrechte verfügen, direkt auf die Hardware zugreifen oder Sicherheitslücken in Betriebssystemen und Anwendungen ausnutzen. Gleichzeitig soll damit sichergestellt werden, dass nur autorisierter Code auf die Daten zugreifen kann.

In dem Modell des Confidential Computings von Microsoft können nur befugte Anwendungen auf die in einer Art Enklave geschützten Daten zugreifen. (Bild: Microsoft)
In dem Modell des Confidential Computings von Microsoft können nur befugte Anwendungen auf die in einer Art Enklave geschützten Daten zugreifen. (Bild: Microsoft)

Als Anwendungsszenarien bieten sich Blockchain, IoT und Big Data an. Außerhalb eines TEE wären so im Finanzsektor personenbezogene Portfoliodaten nicht mehr sichtbar. Im Gesundheitswesen könnten Patientendaten oder Genom-Analysen gemeinsam genutzt werden, ohne sie an andere Organisationen weiterzugeben. Daten müssten nicht eigens verschlüsselt und danach entschlüsselt werden, um Machine-Learning-Analysen durchzuführen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

“Die zunehmende Kreativität von Bedrohungen und die wachsende Komplexität von Cloud-Anwendungen stellen höchste Anforderungen an die Absicherung der Prozesse und Daten in der Cloud”, erklärt Oliver Gürtler, Senior Director Cloud und Enterprise Business Group bei Microsoft Deutschland. “Microsoft investiert Jahr für Jahr rund eine Milliarde US-Dollar in Cyber-Security. Die neuen Services für den Schutz verschlüsselter und unverschlüsselter Daten sind ein enorm wichtiger Schritt auf diesem Weg.”

Zwei TEE-Varianten unterstützt Microsoft zum Start von Azure Confidential Computing. Als Software-basiertes TEE findet das über Hyper-V in Windows 10 und Windows Server 2016 implementierte TEE Virtual Secure Mode Unterstützung. Intel SGX hingegen ist Hardware-basiert und läuft auf den ersten SGX-fähigen Servern in der Public Cloud. Der Vorteil ist, dass so auch außerhalb Azure-basierter Systeme Daten bereit gestellt werden können. Dieses Modell will Microsoft zusammen mit Intel und weiteren Partnern auf zusätzliche Hardware übertragen.

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen