Почему важно защищать данные во время обработки

Рассказываем простыми словами, в чём суть технологии confidential computing и как она помогает сохранить чувствительные данные при работе в облаке.

Почему важно защищать данные во время обработки

Материал подготовлен при поддержке Intel

Михаил Цветков
технический директор
Intel в России

Нукри Башарули
СЕО Aggregion

Конфиденциальные вычисления — что это такое вообще?

Давно стало нормой хранить и передавать ценные данные только в зашифрованном виде. Сейчас же и обработку чувствительных данных стоит по возможности производить в доверенной среде.

Конфиденциальные вычисления (confidential computing) — это технология, при помощи которой можно изолировать код, данные и работать с ними в защищенном анклаве процессора и выделенном пространстве памяти.

Особенно важно, что все содержимое анклава остаётся недоступным для других приложений, ОС или гипервизора, и даже для системного администратора, имеющего физический доступ к серверу. Доступ к анклаву может получить только то приложение, которое его создаёт.

Главное преимущество технологии — возможность обрабатывать и делиться данными, сохраняя при этом конфиденциальность. Например, создать безопасное рабочее место для внештатного датасаентиста: он сможет выполнять задачи по нескольким компаниям, при этом не сможет «вынести» внутрикорпоративные данные во внешнюю среду.

Почему и как давно возникла потребность в конфиденциальных вычислениях?

Конфиденциальные вычисления появились вместе с первыми компьютерами, но особую популярность получили в эпоху облачных технологий. Когда CTO Microsoft Azure Марк Руссинович в 2014 году сказал, что облако — это «по сути, тот же компьютер, который просто не принадлежит вам», стало понятно — прежде, чем доверять облачным хранилищам ценные данные, нужно удостовериться, что их будут обрабатывать безопасно.

Стали развиваться технологии, которые предотвращали несанкционированный доступ к данным — как со стороны параллельно исполняемых чужих процессов или администратора системы, так и от высококвалифицированных взломщиков.

Ещё сильнее спрос на конфиденциальные вычисления вырос, когда компании стали работать с большими данными и разрабатывать собственные экосистемы в партнёрстве друг с другом.

К примеру, о намерении развернуть «уникальную бесшовную экосистему» для промышленного сектора говорили в правлении «Газпромбанка», а президент правления ВТБ сообщал о готовности банка привлечь к открытой системе более 8 миллионов клиентов. Надежды на новую модель возлагают и в Альфа-Банке. А для того, чтобы развернуть собственную экосистему, банкам (и любым другим крупным компаниям) необходимо защищенное пространство для совместной работы с партнёрами, откуда ни один из них не сможет несанкционированно «вывести» корпоративную информацию.

Какие конкретно технологии объединены под этим названием?

В список технологий конфиденциальных вычислений Intel входят Intel TXE (Trusted Execution Engine) — она стартует с момента загрузки сервера или клиентского устройства, с проверкой и подтверждением микрокода на каждом этапе исполнения.

Есть набор технологий для шифрования памяти — Intel TME (Total Memory Encryption), и технология Intel SGX (Software Guard Extensions) для безопасного выполнения кода внутри процессора. Безопасность обеспечивают и акселераторы Intel Advanced Encryption Standard New Instructions (AES-NI), они нужны для криптографической защиты и шифрования почти всех операций – трафика, сетевых функций, хранилища данных.

Разве данные недостаточно защищены — их же и без этого постоянно шифруют?

Данные могут находиться в трёх состояниях — покоя, передачи и обработки. Облачные провайдеры уже давно предлагают шифрование для данных, находящихся в покое (то есть, в хранилищах) или в пути (передаваемых через сетевое соединение).

Конфиденциальные вычисления защищают от остальных угроз — тех, что могут возникнуть в процессе обработки. Для атаки злоумышленники могут использовать уязвимости в программных стеках, операционной системе, приложениях, а чтобы обеспечить себе доступ к данным, они получают расширенные привилегии через вредоносное ПО. Конфиденциальные вычисления закрывают доступ к обрабатываемым данным для всех сторонних пользователей.

Как это работает — на примере?

Технология Intel Software Guard Extensions (Intel SGX) использует защищённые области внутри процессора — анклавы, для обработки зашифрованных данных и кода приложения в аппаратно-защищенной среде. Такой анклав полностью изолирован от любых внешних процессов, включая работу гипервизора — программного слоя управления облачного провайдера.

Intel SGX позволяет защищать данные от компрометации на всех этапах и сохраняет конфиденциальность при их совместной обработке разными компаниями. Изолированные в анклаве SGX данные дополнительно защищены от несанкционированного внешнего или внутреннего доступа.

На платформе SCONE, которая предоставляет защищённую среду для конфиденциальных вычислений с помощью Intel SGX, можно запускать сервисы в анклавах. С его помощью можно защитить себя от кибератак, скрыть от посторонних файловую систему, сетевой трафик и в целом — любую чувствительную информацию.

Например, при использовании SCONE компаниям можно совместно проводить аналитику данных, обучать нейронные сети, не раскрывая данные клиентов.

Какие объёмы информации можно поместить в анклав?

Анклавы имеют ёмкость до 512 Гигабайт на процессор, или до 1 терабайта кода и данных на двухпроцессорный сервер. Это действительно очень много, но самое главное, что в анклаве совсем не обязательно держать весь архив вычислений. Для этого есть система хранения с мощным шифрованием, где объём данных может быть любым — хоть петабайты. Анклавы предназначены именно для безопасных вычислений.

Зачем бизнесу использовать конфиденциальные вычисления? Это сокращает расходы?

Компании могут перенести свои вычислительные нагрузки из дорогой локальной ИТ-инфраструктуры (то есть, собственных серверов) в более современную и гибкую облачную платформу. Анклав справится с огромными рабочими нагрузками в облаке. Например, задачами с использованием искусственного интеллекта и крупных баз данных.

Можно защищать собственные разработки, приложения, использовать анклавы для безопасного сотрудничества с партнёрами. К примеру, у компании №1 есть конфиденциальные данные, а у компании №2 — модели, позволяющие запустить новое технологическое решение на рынок. С помощью конфиденциальных вычислений ни одной из сторон не нужно будет делиться интеллектуальной собственностью и раскрывать те данные, которые хотелось бы оставить в тайне.

Ещё более простой пример: если набрать в поиске «холодильник», популярные сайты будут показывать контекстную рекламу по этому слову неделями. Даже если холодильник давно куплен, рекламным платформам это неизвестно.

Если сопоставить информацию этих двух баз данных — продавца техники и рекламной платформы — можно сэкономить на пустых показах рекламы тем, кто уже купил товар. Конфиденциальные вычисления помогают сделать это без риска взаимной утечки информации.

В каких сферах их чаще всего используют?

Универсальная платформа Intel обеспечивает конфиденциальные вычисления любого масштаба — от локальной периферии до приложений суперкомпьютеров, инфраструктуры умных городов, производства и финансовой сферы.

Так, компании с интенсивными и многочисленными операциями шифрования — например, ритейлеры с их миллионами клиентских транзакций — могут использовать технологию Intel SGX для защиты пользовательских данных, не снижая при этом существенно время отклика или общую производительность системы.

А в России этим уже кто-то пользуется?

Да, ещё в 2019 году ритейлер «Магнит» и компания по управлению цифровыми лицензиями Aggregion запустили первую в России доверенную среду совместной работы с данными — на технологии Intel SGX.

Вот как это работает: информация о клиентах «Магнита», предназначенная для рекламных кампаний, может проходить обработку в SGX-анклавах и любое ПО, которое обращается к этим данным, видит лишь обезличенную информацию. То есть, с персональными данными можно работать деперсонифицированно, но при этом без проблем сегментировать аудиторию по десяткам критериев, в том числе предпочтениям в выборе товаров.

«Магнит» уже провёл свыше 500 рекламных кампаний и на четверть сократил затраты, связанные с размещением рекламы в цифровых каналах.

В 2021 году «Билайн Бизнес» также запустит децентрализованную омниканальную платформу для обработки клиентских данных. С её помощью можно составлять профили клиентов на основе CRM- и рекламных данных — чтобы распределять маркетинговый бюджет эффективнее.

А сами производители ПО поддерживают развитие этой технологии?

Да, например, Microsoft предлагает богатый программный стек, чтобы упростить разработку с использованием SGX. Есть даже возможность обновить существующие приложения, чтобы с ними можно было работать в анклаве SGX.

Какие перспективы есть у конфиденциальных вычислений?

Согласно подсчетам аналитиков McKinsey Digital, к 2025 году объём сетевой экономики в мире достигнет $60 трлн. Уже около 60% банков США готовы строить свои экосистемы или присоединиться к существующим. Эти значит, что в ближайшие годы спрос на конфиденциальные вычисления заметно вырастет.

Компании всего мира будут взаимодействовать друг с другом, в первую очередь – по аудиториям, и здесь никак не обойтись без конфиденциальных вычислений. Во-первых, регуляторные ограничения на распространение персональных данных станут жёстче. Во-вторых, компании, даже не являясь прямыми конкурентами, никогда не пойдут на обмен данными о клиентской аудитории без соблюдения условий конфиденциальности.

88
4 комментария

Вот все хорошо в Intel SGX, кроме того, что никакого отношение к описываемым в статье кейсам тут не улавливается слабо, и сильные стороны применения этого подхода явно лежат в других задачах.

SGX - технология, предназначенная для снижения недоверия к облачным вычислениям со стороны крупных компаний, которых надо затаскивать в облака. Относиться к теме private cloud и private вычислений. 

Но хотя и есть заявление, что SGX дает возможность для совместных вычислений, когда два партнёра могут взаимодействовать друг с другом, тем не менее упомянутые задачи маркетинга имеют несколько другую проблематику, связанную с необходимостью синхронизации или передачи клиентских идентификаторов на сторону рекламной платформы. Потому что без того, что бы как то "указать" сторонней рекламной платформе кому и что надо показывать, повысить конверсию сложно. Кроме этого, в задачах рекламы, таргет вносить примерно 15% эффективности, в то время как место показа, контекст и креатив делают все остальное.

Все это дает основания сомневаться в экономической эффективности кейсов, тк стоимость решения "проблемы" защиты данных кажется выше выгод, при том, что "проблема" данной технологией решается лишь частично при том, что есть и другие, более дешевые, технологии для решения таких задач.

2
Ответить

Денис, интересное мнение. Можете поделиться примерами других более дешевых решений?

Ответить

Самый красивый публичный кейс для SGX — это Сигнал. Вот там выстрелило, на мой взгляд.

А так "У тебя есть тема под SGX? У меня бюджет и нужна отчетность". Иногда что-то стоящее, но чаща всего коммерсы с менеджерами крупняка друг-другу "визибилити" создают.

Ответить