SecuStack : rendre le nuage plus sûr

SecuStack, avec les enclaves de mémoire protégée Intel® Software Guard Extensions, permet à une nouvelle catégorie d'utilisateurs de bénéficier d'une infonuagique sécurisée.

Vue d'ensemble :

  • Secunet Security Networks AG, une entreprise leader dans le domaine de la cybersécurité, et Cloud & Heat Technologies GmbH, un fournisseur de solutions de centres de données efficaces, évolutives et sécurisées, ont créé SecuStack. Leur objectif est d'apporter l'infonuagique aux industries qui n'ont pas pu l'adopter auparavant en raison de réglementations strictes en matière de sécurité.

  • SecuStack comprend des mécanismes de chiffrement intégrés de manière transparente qui protègent le transfert et le stockage des données, ainsi que l'intégration des enclaves Intel® Software Guard Extensions (Intel® SGX) qui protègent les données pendant leur traitement dans un environnement OpenStack.

author-image

Par

Et si vous pouviez utiliser les services de nuage public tout en ayant la certitude que vos données (en mouvement, au repos et en cours d'utilisation) sont entièrement sous votre contrôle? C'est exactement ce que SecuStack vise à réaliser, en débloquant les avantages de l'infonuagique pour les institutions gouvernementales et les industries hautement réglementées. Créé par secunet Security Networks AG (une société allemande, leader dans le domaine de la cybersécurité) et Cloud & Heat Technologies GmbH (fournisseur de solutions de centres de données sécurisées, évolutives et à faible consommation d'énergie), SecuStack apporte l'infonuagique à divers secteurs qui n'ont pas pu l'adopter jusqu'à présent en raison de réglementations strictes en matière de sécurité ou d'un manque de confiance.

Enjeux

L'infonuagique offre des avantages intéressants en matière de coûts, d'efficacité opérationnelle et d'évolutivité, mais certaines industries, ainsi que des institutions gouvernementales, ne l'ont pas adoptée à grande échelle pour des raisons de sécurité. Sans transparence dans la pile logicielle et sans contrôle total de leurs données, l'infonuagique reste hors de portée de ces organisations.

Solution

En fournissant un système d'exploitation en nuage à sécurité renforcée, SecuStack peut faire fonctionner une solution en nuage moderne sur site ou hébergée de manière fiable grâce à l'infrastructure en tant que service. Il assure la transparence des fonctionnalités de la pile logicielle, contrairement aux logiciels commerciaux ou à de nombreux fournisseurs de services infonuagiques (CSP, Cloud Solution Providers). SecuStack comprend des mécanismes de chiffrement intégrés de manière transparente qui protègent le transfert et le stockage des données, ainsi que l'intégration des enclaves Intel® Software Guard Extensions (Intel® SGX) qui protègent les données pendant leur traitement dans un environnement OpenStack.

Résultats

Les organisations ayant des besoins stricts de conformité en matière de sécurité peuvent désormais profiter de tous les avantages de l'infonuagique. Il s'agit notamment d'éviter les dépenses d'infrastructure, de réduire les coûts de maintenance, d'accroître l'efficacité opérationnelle, l'évolutivité et l'accès aux dernières innovations de la technologie Intel® pour des performances élevées.

Un besoin de transparence et de contrôle dans le nuage

L'infonuagique est une industrie « en tant que service ». En règle générale, les fournisseurs de services infonuagiques offrent à leurs clients des services et des interfaces de programmation d'applications (API, Application Programming Interface), mais pas de logiciels ni de code source. Les consommateurs de services en nuage doivent donc faire confiance au fournisseurs de services infonuagiques qui gère les serveurs, contrôle la pile logicielle et protège les données des clients. L'infonuagique peut offrir une série d'avantages, tels que l'efficacité et la réduction des coûts, l'évolutivité et des capacités de reprise après sinistre1. Cependant, la transparence et le contrôle total de la sécurité des données au repos, en mouvement et en cours d'utilisation sont une préoccupation pour de nombreuses institutions et agences gouvernementales, ainsi que pour les industries privées hautement réglementées telles que les services publics et les prestataires de soins de santé. Ces préoccupations se sont historiquement avérées être un obstacle à l'adoption de services infonuagiques pour ces organisations. Sans transparence et sans contrôle de leurs données, elles ne peuvent tout simplement pas tirer profit des services infonuagiques externes. Le renforcement de la protection des données permettra également aux entreprises utilisant les ressources en nuage de traiter leurs données de manière confidentielle.

Souveraineté numérique dans le nuage

SecuStack tire parti de processeurs Intel équipés d'Intel® SGX, qui permettent d'exécuter des services d'infrastructure critiques comme la gestion des identités, la gestion des clés et les services de réseau privé virtuel (VPN, Virtual Private Network) à l'intérieur d'enclaves d'applications isolées. Les enclaves sont dotées de protections de confidentialité et d'intégrité assistées par matériel pour empêcher l'accès aux processus de niveaux de privilège supérieurs. Grâce aux services d'attestation, une partie dépendante peut recevoir une vérification de l'identité d'une enclave d'application avant le lancement. Grâce à ces capacités, les applications sont préparées pour plus de sécurité. Avec l'aide de la plateforme SCONE de Scontain, les services peuvent être facilement intégrés et exécutés à l'intérieur des enclaves Intel® SGX. Des fonctions telles que le chiffrement transparent de l'exécution, la gestion des secrets et l'autorisation peuvent être intégrées de manière pratique. La combinaison d'enclaves Intel® SGX et d'une couche d'infrastructure à code source ouvert, renforcée et sécurisée par cryptographie, offre une protection avancée, car elle renforce la sécurité et la souveraineté des applications et des données ainsi que l'intégrité de la couche d'infrastructure. En plus de la protection de l'infrastructure, SecuStack prend également en charge les applications confidentielles natives du nuage. Les services d'application peuvent fonctionner à l'intérieur d'enclaves Intel® SGX fonctionnant dans une grappe Kubernetes, par exemple (voir Figure 1). SecuStack utilise également Intel® Advanced Encryption Standard - New Instructions (Intel® AES-NI) pour accélérer les processus de chiffrement de SecuStack.

Figure 1. En tirant parti des enclaves Intel® SGX (Intel® Software Guard Extensions), le système d'exploitation SecuStack permet d'assurer une informatique confidentielle dans le nuage.

La collaboration contribue à améliorer la sécurité du nuage

Comme Intel, secunet estime qu'une véritable sécurité ne peut être obtenue par les seuls logiciels ou matériels. Une véritable sécurité résulte de la combinaison de caractéristiques logicielles et matérielles. Depuis des décennies, Intel améliore les caractéristiques de sécurité matérielle telles que le démarrage sécurisé et la virtualisation sur processeur. Intel® SGX ajoute d'importantes caractéristiques de sécurité, notamment des enclaves, une attestation, le chiffrement de la mémoire et la protection des données en cours d'utilisation. SecuStack tire profit de toutes ces innovations d'Intel, en les combinant avec une version sécurisée d'OpenStack. Les deux sociétés ont collaboré avec Scontain, qui a ajouté à sa plateforme SCONE plusieurs outils utilisant Intel® SGX. La coopération entre les trois entreprises a abouti à un système d'exploitation en nuage vérifiable et opérationnel qui peut enfin mettre l'infonuagique au service de cas tels que les soins de santé, les banques, l'informatique multipartite, l'informatique confidentielle et le secteur public.

Pendant le développement de SecuStack, Intel a fourni des ressources éducatives aux développeurs de SecuStack afin qu'ils puissent comprendre quelles étaient les nouvelles technologies Intel à l'horizon. Les ingénieurs d'Intel ont partagé leurs idées sur la façon d'utiliser la technologie enclave pour l'apprentissage automatique et les cas d'utilisation de l'intelligence artificielle (IA), et ont répondu à des questions sur Intel® SGX. Intel a également fourni un accès privilégié aux offres de matériel et un accès à distance à ses laboratoires et à sa technologie. Intel et secunet sont impatients de poursuivre leur collaboration et leurs investissements dans les nouvelles technologies afin d'améliorer encore la sécurité de l'infonuagique.

« De nombreux fournisseurs de plateformes peuvent proposer des technologies en nuage ou des fonctions d'intelligence artificielle (IA). Intel est la seule entreprise qui peut fournir des technologies de nuage et d'IA de manière holistique et sécurisée » - Kai Martius, directeur technique, secunet Security Networks AG

Cas d'utilisation de SecuStack : informatique multipartite confidentielle

SecuStack utilise la plateforme SCONE et Intel® SGX pour de nouvelles applications dans le nuage. Ces applications comprennent l'apprentissage automatique et l'informatique multipartite. Certains des clients de SecuStack dans le domaine de la santé et des sciences de la vie l'utilisent pour la protection des modèles d'apprentissage automatique et pour le transfert et le traitement des données des patients pour des applications d'apprentissage automatique fédérées confidentielles. Peu importe que le fournisseur de services infonuagiques soit « de confiance » ou non, les données de formation, le code et les modèles restent protégés contre tout accès de celui-ci. SecuStack alimente une recherche approfondie, qui pourrait potentiellement conduire à des percées passionnantes dans le diagnostic et le traitement des maladies.

Cas d'utilisation de SecuStack : anonymisation et pseudonymisation des données vidéo dans le nuage

L'un des clients de SecuStack utilise le système d'exploitation sécurisé pour l'apprentissage fédéré de modèles d'IA en combinant des données provenant de différentes sources, tout en restant conforme au règlement général sur la protection des données (RGPD). Ce client fait notamment valoir le fait que SecuStack fournit une gestion complète du cycle de vie de l'infrastructure en nuage sécurisée et personnalisée. La gestion de l'infrastructure peut s'étendre aux grappes Kubernetes gérés grâce aux services fournis par le partenaire de SecuStack, Cloud & Heat, pour soutenir le développement de l'apprentissage automatique. Parmi les autres caractéristiques de SecuStack qui apportent un avantage commercial à ce client, citons les connexions de réseau privé virtuel sécurisées qui servent à mieux sécuriser l'accès aux données et la possibilité de stocker et d'analyser des données vidéo en toute sécurité sans enfreindre les normes de protection des données de l'Union européenne.

« Nous avons une relation exceptionnelle avec Intel, qui fournit des informations sur les technologies à venir et une prise en charge technique. Il est important de comprendre la technologie (et ses limites) pour savoir comment l'utiliser et construire une solution solide », Kai Martius, directeur technique, secunet Security Networks AG

À propos de secunet Security Networks AG

Secunet Security Networks AG est une entreprise allemande, leader dans le domaine de la cybersécurité. Elle emploie plus de 700 experts qui renforcent la souveraineté numérique des gouvernements, des entreprises et de la société. La société offre une combinaison de produits et de services de conseil, de solides infrastructures numériques et le plus haut niveau de sécurité pour les données, les applications et les identités numériques. Secunet est spécialisée dans des domaines aux exigences de sécurité uniques, comme le nuage, l'Internet des objets industriel (IIoT), l'apprentissage automatique et la santé en ligne. Elle compte parmi ses clients des ministères fédéraux allemands, des organisations nationales et internationales et plus de 20 sociétés cotées au DAX.

Composants de la solution

  • Système d'exploitation en nuage SecuStack
  • Plateforme SCONE de Scontain
  • Intel® Software Guard Extensions (Intel® SGX)
  • Intel® Advanced Encryption Standard – New Instructions (Intel® AES-NI)
  • Kubernetes géré par Cloud & Heat

Télécharger le PDF ›