Kubernetes, spécialiste de l’informatique confidentielle

Kubernetes, spécialiste de l'informatique confidentielle


Nouvelles

Kubernetes, spécialiste de l’« informatique confidentielle »

Edgeless Systems, qui pense que “l’informatique confidentielle” est l’avenir du cloud computing, a attesté de cette croyance en open source une offre Kubernetes cryptée.

Appelé Constellation, le nouveau projet open source basé sur GitHub est décrit comme “Always Encrypted Kubernetes”.

Constellation
[Click on image for larger view.] Constellation (source : Edgeless Systems).

Le fichier GitHub README.md indique : “Constellation est un moteur Kubernetes qui vise à fournir la meilleure sécurité des données possible. Il encapsule votre cluster K8s dans un seul contexte confidentiel qui est protégé de l’infrastructure cloud sous-jacente. Tout ce qu’il contient est toujours crypté, y compris lors de l’exécution en mémoire. Pour cela, Constellation s’appuie sur l’informatique confidentielle (voir le livre blanc) et plus précisément sur les Confidential VM.”

Ce livre blanc publié par la startup de cybersécurité basée en Allemagne explique sa vision de l’informatique confidentielle : « L’informatique confidentielle est une technologie qui protège les charges de travail informatiques de leurs environnements et maintient les données chiffrées même pendant le traitement. suivant : Comment traiter des données sur un ordinateur potentiellement compromis ? Cet ordinateur peut être exploité par vous-même, votre entreprise ou un tiers comme un fournisseur de cloud.” (Pour le point de vue de Microsoft sur l’informatique confidentielle, lisez Paul Schnackenburg Examen de la virtualisation et du cloud article « Un regard sur Azure Confidential Computing. »)

Informatique confidentielle
[Click on image for larger view.] Informatique confidentielle (source : Edgeless Systems).

En ce qui concerne ces « machines virtuelles confidentielles », elles sont expliquées dans un article de blog du 13 septembre : « En bref, avec Constellation, tous vos nœuds s’exécutent à l’intérieur de machines virtuelles confidentielles, permettant le chiffrement pendant le traitement. De plus, Constellation chiffre automatiquement toutes les données qui est envoyé sur le réseau ou écrit sur le stockage. L’intégrité des nœuds est vérifiée par Constellation via un processus d’attestation, où seuls les « bons » nœuds, c’est-à-dire ceux qui exécutent une image Constellation signée et sont dans l’état attendu, obtiennent les clés cryptographiques nécessaires pour accéder au réseau et au stockage d’un cluster.”

Alors que la société affirme que Constellation fonctionne sur tous les principaux clouds, une documentation spécifique montre que la prise en charge dépend des degrés divers auxquels Google Cloud Platform (GCP), Amazon Web Services (AWS) et Microsoft Azure prennent en charge les machines virtuelles confidentielles (CVM), avec cette dernière plate-forme. dit fournir “les meilleures fondations pour Constellation”.

Contexte confidentiel de Constellation
[Click on image for larger view.] Contexte confidentiel de Constellation (source : Edgeless Systems).

Les caractéristiques de sécurité de l’approche, a déclaré la société, incluent :

  • Cryptage d’exécution : Constellation exécute tous les nœuds Kubernetes à l’intérieur des CVM. Cela donne un chiffrement d’exécution pour l’ensemble du cluster.
  • Cryptage du réseau et du stockage : Constellation augmente cela avec un cryptage transparent du réseau et un stockage persistant. Ainsi, les charges de travail et le plan de contrôle sont véritablement chiffrés de bout en bout : au repos, en transit et à l’exécution.
  • Gestion transparente des clés : Constellation gère les clés cryptographiques correspondantes à l’intérieur des CVM.
  • Attestation et vérification de nœud : Constellation vérifie l’intégrité de chaque nouveau nœud basé sur CVM à l’aide d’une attestation à distance. Seuls les “bons” nœuds reçoivent les clés cryptographiques nécessaires pour accéder au réseau et au stockage d’un cluster.
  • Images confidentielles optimisées pour le calcul : Un nœud est “bon” s’il exécute une image de nœud Constellation signée à l’intérieur d’un CVM et se trouve dans l’état attendu. (Les images de nœud sont mesurées par le matériel lors du démarrage et sont reflétées. Les mesures sont reflétées dans les déclarations d’attestation produites par les nœuds et vérifiées par Constellation.)
  • Attestation “Pôle entier” : En ce qui concerne l’ingénieur DevOps, Constellation fournit un seul certificat à racine matérielle à partir duquel tout ce qui précède peut être vérifié.

“Edgeless Systems construit l’infrastructure open source pour la révolution de l’informatique confidentielle”, a déclaré le PDG de la société, Felix Schuster, dans un communiqué de presse du 13 septembre. “Le matériel et les fonctionnalités nécessaires à Constellation n’étaient pour la plupart même pas disponibles dans le cloud il y a 12 mois, mais nous avons commencé le travail nécessaire pour nous assurer que les utilisateurs de Kubernetes peuvent sécuriser toutes leurs données – au repos, en transit et maintenant en cours d’utilisation. En faisant Constellation accessible à tous, nous pouvons aider à accélérer l’adoption de charges de travail de cloud computing plus sécurisées.”

A propos de l’auteur


David Ramel est éditeur et rédacteur pour Converge360.



.

Leave a Comment