Cloud
Assurer une protection à 100 % des données dans le cloud grâce à l’informatique confidentielle
Par Xavier Biseul, publié le 08 novembre 2023
Alors que le chiffrement dans le cloud se limite aux données au repos et en transit, l’informatique confidentielle étend cette protection aux données en cours d’utilisation, en les isolant dans une enclave matérielle.
L’un des freins à l’adoption du cloud public concerne la confidentialité des informations sensibles ou réglementées comme les données financières ou de santé. Les techniques de chiffrement appliquées sont souvent abusivement estampillées « de bout en bout ».
Certes, les fournisseurs de services cloud proposent de chiffrer les données au repos – stockées dans les bases de données – et les données en transit passant par les réseaux. En revanche, ce chiffrement ne s’applique pas aux données en cours d’utilisation. Pour qu’une application puisse les traiter, elles doivent, au préalable, être déchiffrées en mémoire. Ce passage « en clair » les rend temporairement vulnérables à des menaces extérieures telles que la compromission d’un serveur ou l’exploitation de vulnérabilités logicielles.
Le concept de l’informatique confidentielle met un terme à cet angle mort en effectuant les calculs dans un environnement d’exécution de confiance (ou TEE pour Trusted Execution Environment) situé dans une enclave du processeur.
Afin d’assurer sa propre sécurité, cet environnement intègre des clés de chiffrement et des mécanismes d’authentification. Si un code d’exécution non autorisé tente un déchiffrement, le TEE annule le traitement en cours.
À LIRE AUSSI :
L’informatique confidentielle repose sur l’association de composants logiciels et matériels auxquels l’application doit pouvoir accéder. Elle nécessite, de fait, la coopération de plusieurs parties prenantes.
Sur ce marché, on trouve à la fois les fabricants de processeurs (Intel, Arm, AMD, Nvidia), des cloud providers (Microsoft Azure, AWS, Google Cloud, IBM Cloud), des spécialistes de la virtualisation (VMware) ou des promoteurs de l’open source (Canonical).
Les fondeurs développent les environnements d’exécution de confiance basés sur leurs puces : par exemple Secure Encrypted Virtualization (SEV) chez AMD, TrustZone chez Arm, ou encore Trust Domaine Extension (TDX) et Software Guard Extension (SGX) chez Intel, sur lesquels se branche par exemple la plateforme CipherTrust Data Security de Thales.
Les cloud providers intègrent ces technologies pour proposer des « enclaves virtuelles ».
Avec son offre Azure Confidential Computing, Microsoft commercialise des machines virtuelles confidentielles basées sur des processeurs AMD (les séries DCasv5 et ECasv5) mais aussi un service de “containers confidentiels” (en appui sur son service ACI et sur des processeurs AMD).
AWS dispose d’un service comparable avec son offre Nitro Enclaves, soit des environnements de calcul entièrement isolés et basés sur son service de stockage EC2.
Les Confidential VM de Google Cloud s’appuient, eux, sur des processeurs de dernière génération AMD Epyc.
De son côté, VMware contribue avec AMD, Samsung et la communauté Risc-V au projet open source Certifier Framework for Confidential Computing, visant à démocratiser l’informatique confidentielle.
Tous ces acteurs, et bien d’autres, se retrouvent au sein du Confidential Computing Consortium. Fondé en 2019, ce projet de la Linux Foundation se donne pour ambition d’accélérer l’adoption des technologies et des normes TEE. Selon le cabinet d’études Everest Group, le marché affiche un taux de croissance annuel moyen de 90 à 95 %. Plafonnant à environ 2 Md$ en 2021, il devrait atteindre jusqu’à 54 Md$ en 2026. La généralisation du multicloud et de l’edge computing imposent notamment l’adoption native de ces mécanismes de sécurité.
À LIRE AUSSI :