SecuStack : rendre le Cloud plus sûr

SecuStack, avec les enclaves Intel® Software Guard Extensions, permet à une nouvelle catégorie d'utilisateurs de bénéficier d'une informatique en nuage sécurisée.

En bref :

  • Secunet Security Networks AG, une entreprise leader dans le domaine de la cybersécurité, et Cloud & Heat Technologies GmbH, un fournisseur de solutions de centres de données efficaces, évolutives et sécurisées, ont créé SecuStack. Leur objectif est d'apporter l'informatique en nuage aux industries qui n'ont pas pu l'adopter auparavant en raison de réglementations strictes en matière de sécurité.

  • SecuStack comprend des mécanismes de chiffrement intégrés de manière transparente qui protègent le transfert et le stockage des données, ainsi que l'intégration des enclaves Intel® Software Guard Extensions (Intel® SGX) qui protègent les données pendant leur traitement dans un environnement OpenStack.

author-image

Par

Et si vous pouviez utiliser les services de Cloud public tout en ayant la certitude que vos données (en mouvement, au repos et en cours d'utilisation) sont entièrement sous votre contrôle ? C'est exactement ce que SecuStack vise à réaliser, en débloquant les avantages de l'informatique en nuage pour les institutions gouvernementales et les industries hautement réglementées. Créé par secunet Security Networks AG (première société allemande de cybersécurité) et Cloud & Heat Technologies GmbH (fournisseur de solutions de centres de données sécurisées, évolutives et à faible consommation d'énergie), SecuStack apporte l'informatique en nuage à divers secteurs qui n'ont pas pu l'adopter jusqu'à présent en raison de réglementations strictes en matière de sécurité ou d'un manque de confiance.

Enjeux

L'informatique en nuage offre des avantages intéressants en matière de coûts, d'efficacité opérationnelle et d'évolutivité, mais certaines industries, ainsi que des institutions gouvernementales, ne l'ont pas adoptée à grande échelle pour des raisons de sécurité. Sans transparence dans la pile logicielle et sans contrôle total de leurs données, l'informatique en nuage reste hors de portée de ces organisations.

Solution

En fournissant un système d'exploitation Cloud à sécurité renforcée, SecuStack peut faire fonctionner une solution Cloud moderne sur site ou hébergée de manière fiable grâce à l'infrastructure en tant que service. Il assure la transparence des fonctionnalités de la pile logicielle, contrairement aux logiciels commerciaux ou à de nombreux fournisseurs de services Cloud (CSP, Cloud Service Providers). SecuStack comprend des mécanismes de chiffrement intégrés de manière transparente qui protègent le transfert et le stockage des données, ainsi que l'intégration des enclaves Intel® Software Guard Extensions (Intel® SGX) qui protègent les données pendant leur traitement dans un environnement OpenStack.

Résultats

Les organisations ayant des besoins stricts de conformité en matière de sécurité peuvent désormais profiter de tous les avantages de l'informatique en nuage. Il s'agit notamment d'éviter les dépenses d'infrastructure, de réduire les coûts de maintenance, d'accroître l'efficacité opérationnelle, l'évolutivité et l'accès aux dernières innovations de la technologie Intel® pour des performances élevées.

Un besoin de transparence et de contrôle dans le Cloud

Le Cloud est une entreprise en tant que service. En règle générale, les CSP fournissent à leurs clients des services et des interfaces de programmation d'applications (API, Application Programming Interface), mais pas de logiciels ni de code source. Les consommateurs de services Cloud doivent donc faire confiance au CSP qui gère les serveurs, contrôle la pile logicielle et protège les données des clients. L'informatique en nuage peut offrir une série d'avantages, tels que l'efficacité et la réduction des coûts, l'évolutivité et les capacités de reprise après sinistre1 Cependant, la transparence et le contrôle total de la sécurité des données au repos, en mouvement et en cours d'utilisation sont une préoccupation pour de nombreuses institutions et agences gouvernementales, ainsi que pour les industries privées hautement réglementées telles que les services publics et les prestataires de soins de santé. Ces préoccupations se sont historiquement avérées être un obstacle à l'adoption de services Cloud pour ces organisations. Sans transparence et sans contrôle de leurs données, elles ne peuvent tout simplement pas tirer profit des services Cloud externes. Le renforcement de la protection des données permettra également aux entreprises utilisant les ressources Cloud de traiter leurs données de manière confidentielle.

Souveraineté numérique dans le Cloud

SecuStack tire parti des processeurs Intel® équipés d'Intel® SGX, qui permettent d'exécuter des services d'infrastructure critiques comme la gestion des identités, la gestion des clés et les services de réseau privé virtuel (VPN, Virtual Private Network) à l'intérieur d'enclaves d'applications isolées. Les enclaves sont dotées de protections de confidentialité et d'intégrité assistées par matériel pour empêcher l'accès aux processus de niveaux de privilège supérieurs. Grâce aux services d'attestation, une partie dépendante peut recevoir une vérification de l'identité d'une enclave d'application avant le lancement. Grâce à ces capacités, les applications sont préparées pour plus de sécurité. Avec l'aide de la plateforme SCONE de Scontain, les services peuvent être facilement intégrés et exécutés à l'intérieur des enclaves Intel® SGX. Des fonctions telles que le chiffrement transparent de l'exécution, la gestion des secrets et l'autorisation peuvent être intégrées de manière pratique. La combinaison d'enclaves Intel® SGX et d'une couche d'infrastructure renforcée et sécurisée au niveau du chiffrement, basée sur l'open source, offre une protection avancée, car elle renforce la sécurité et la souveraineté des applications et des données ainsi que l'intégrité de la couche d'infrastructure. En plus de la protection de l'infrastructure, SecuStack prend également en charge les applications confidentielles natives du Cloud. Les services d'application peuvent fonctionner à l'intérieur d'enclaves Intel® SGX fonctionnant dans un cluster Kubernetes, par exemple (voir Figure 1). SecuStack utilise également Intel® Advanced Encryption Standard - New Instructions (Intel® AES-NI) pour accélérer les processus de chiffrement de SecuStack.

Figure 1 En tirant parti des enclaves Intel® SGX (Intel® Software Guard Extensions), le système d'exploitation SecuStack permet d'assurer une informatique confidentielle dans le Cloud.

La collaboration contribue à améliorer la sécurité du Cloud

Comme Intel, secunet estime qu'une véritable sécurité ne peut être obtenue par les seuls logiciels ou matériels. Une véritable sécurité résulte de la combinaison de caractéristiques logicielles et matérielles. Depuis des décennies, Intel améliore les caractéristiques de sécurité matérielle telles que le démarrage sécurisé et la virtualisation sur processeur. Intel® SGX ajoute d'importantes caractéristiques de sécurité, notamment des enclaves, une attestation, le chiffrement de la mémoire et la protection des données en cours d'utilisation. SecuStack tire profit de toutes ces innovations d'Intel, en les combinant avec une version sécurisée d'OpenStack. Les deux sociétés ont collaboré avec Scontain, qui a ajouté à sa plateforme SCONE plusieurs outils utilisant Intel® SGX. La coopération entre les trois entreprises a abouti à un système d'exploitation Cloud vérifiable et opérationnel qui peut enfin mettre l'informatique en nuage au service de cas tels que les soins de santé, les banques, l'informatique multipartite, l'informatique confidentielle et le secteur public.

Pendant le développement de SecuStack, Intel a fourni des ressources éducatives aux développeurs de SecuStack afin qu'ils puissent comprendre quelles étaient les nouvelles technologies Intel® à l'horizon. Les ingénieurs d'Intel ont partagé leurs idées sur la façon d'utiliser la technologie enclave pour l'apprentissage machine et les cas d'utilisation de l'intelligence artificielle (IA), et ont répondu à des questions sur Intel® SGX. Intel a également fourni un accès précoce aux offres de matériel et un accès à distance aux laboratoires et technologies Intel®. Intel et secunet sont impatients de poursuivre leur collaboration et leurs investissements dans les nouvelles technologies afin d'améliorer encore la sécurité de l'informatique en nuage.

« De nombreux fournisseurs de plateformes peuvent proposer des technologies Cloud ou des fonctions d'intelligence artificielle (IA). Intel est la seule entreprise qui peut fournir des technologies de Cloud et d'IA de manière holistique et sécurisée » - Kai Martius, directeur technique, secunet Security Networks AG

Cas d'utilisation de SecuStack : informatique multipartite confidentielle

SecuStack utilise la plateforme SCONE et Intel® SGX pour de nouvelles applications dans le Cloud. Ces applications comprennent l'apprentissage machine et l'informatique multipartite. Certains des clients de SecuStack dans le domaine de la santé et des sciences de la vie l'utilisent pour la protection des modèles d'apprentissage machine et pour le transfert et le traitement des données des patients pour des applications d'apprentissage machine fédérées confidentielles. Peu importe que le fournisseur de services Cloud (CSP, Cloud Service Provider) soit « de confiance » ou non, les données de formation, le code et les modèles restent protégés contre l'accès par le CSP. SecuStack alimente une recherche approfondie, qui pourrait potentiellement conduire à des percées passionnantes dans le diagnostic et le traitement des maladies.

Cas d'utilisation de SecuStack : anonymisation et pseudonymisation des données vidéo dans le Cloud

L'un des clients de SecuStack utilise le système d'exploitation sécurisé pour l'apprentissage fédéré de modèles d'intelligence artificielle (IA) en combinant des données provenant de différentes sources, tout en restant conforme au règlement général sur la protection des données (RGPD). Ce client fait notamment valoir le fait que SecuStack fournit une gestion complète du cycle de vie de l'infrastructure Cloud sécurisée et personnalisée. La gestion de l'infrastructure peut s'étendre aux clusters Kubernetes gérés grâce aux services fournis par le partenaire de SecuStack, Cloud & Heat, pour soutenir le développement de l'apprentissage machine. Parmi les autres caractéristiques de SecuStack qui apportent un avantage commercial à ce client, citons les connexions de réseau privé virtuel sécurisées qui servent à mieux sécuriser l'accès aux données et la possibilité de stocker et d'analyser des données vidéo en toute sécurité sans enfreindre les normes de protection des données de l'Union européenne.

« Nous avons une relation exceptionnelle avec Intel, qui fournit des informations sur les technologies à venir et une prise en charge technique. Il est important de comprendre la technologie (et ses limites) pour savoir comment l'utiliser et construire une solution solide », Kai Martius, directeur technique, secunet Security Networks AG

À propos de secunet Security Networks AG

Secunet Security Networks AG est la première entreprise allemande de cybersécurité. secunet emploie plus de 700 experts qui renforcent la souveraineté numérique des gouvernements, des entreprises et de la société. La société offre une combinaison de produits et de services de conseil, de solides infrastructures numériques et le plus haut niveau de sécurité pour les données, les applications et les identités numériques. secunet est spécialisée dans des domaines aux exigences de sécurité uniques, comme le Cloud, l'Internet des objets industriel (IIoT), l'apprentissage machine et la santé en ligne. Elle compte parmi ses clients des ministères fédéraux allemands, des organisations nationales et internationales et plus de 20 sociétés cotées au DAX.

Composants de la solution

  • Système d'exploitation Cloud SecuStack
  • Plateforme SCONE de Scontain
  • Intel® Software Guard Extensions (Intel® SGX)
  • Intel® Advanced Encryption Standard – New Instructions (Intel® AES-NI)
  • Kubernetes géré par Cloud & Heat

Télécharger le PDF ›