Anwendungsfälle

  • Artikel

Mithilfe vertraulicher Computertechnologien können Sie Ihre virtualisierte Umgebung vom Host, vom Hypervisor, vom Hostadministrator und sogar von Ihrem eigenen VM-Administrator abhärten. Je nach Ihrem Bedrohungsmodell bieten wir verschiedene Technologien an, mit denen Sie folgende Möglichkeiten haben:

  • Verhindern nicht autorisierter Zugriffe: Verwenden Sie vertrauliche Daten in der Cloud. Vertrauen Sie darauf, dass Azure den bestmöglichen Datenschutz bietet – mit wenigen bis gar keinen Änderungen im Vergleich zu aktuellen Maßnahmen.

  • Einhaltung gesetzlicher Bestimmungen: Migrieren Sie zur Cloud, und behalten Sie die volle Kontrolle über Daten, um behördliche Vorschriften zum Schutz von persönlichen Informationen und IP-Adressen der Organisation zu erfüllen.

  • Gewährleisten sicherer Zusammenarbeit ohne Vertrauensvorschuss: Bewältigen Sie branchenweite aufgabenbezogene Probleme, indem Sie Daten von verschiedenen Organisationen und sogar von Mitbewerbern durchforsten, um umfassende Datenanalysen zu ermöglichen und tiefgreifendere Erkenntnisse zu gewinnen.

  • Isolierte Verarbeitung: Bieten Sie eine neue Reihe von Produkten an, die mittels Blindverarbeitung die Haftbarkeit für private Daten beseitigen. Benutzerdaten können nicht einmal vom Dienstanbieter abgerufen werden.

Szenarien

Vertrauliches Computing kann für verschiedene Szenarien zum Schutz von Daten in regulierten Branchen wie Regierung, Finanzdienstleistungen und Gesundheitseinrichtungen gelten. Wenn Sie beispielsweise den Zugriff auf vertrauliche Daten verhindern, wird die digitale Identität der Bürger*innen vor allen beteiligten Parteien geschützt, einschließlich des Cloudanbieters, der sie speichert. Diese vertraulichen Daten können biometrische Daten enthalten, die zum Auffinden und Entfernen bekannter Bilder mit Kindermissbrauch, zur Verhinderung von Menschenhandel und zur Unterstützung digitaler forensischer Untersuchungen verwendet werden.

Screenshot: Anwendungsfälle für Azure Confidential Computing, u. a. Szenarien für Behörden, Finanzdienstleistungen und das Gesundheitswesen

Dieser Artikel enthält eine Übersicht über mehrere gängige Szenarien. Die Empfehlungen in diesem Artikel dienen als Ausgangspunkt für die Anwendungsentwicklung mit Confidential Computing-Diensten und -Frameworks.

Nach Lesen dieses Artikels können Sie die folgenden Fragen beantworten:

  • Was sind Beispiele für gängige Azure Confidential Computing-Szenarien?
  • Welche Vorteile bietet die Verwendung von Azure Confidential Computing in Szenarien mit mehreren Parteien, für einen verbesserten Datenschutz von Kundendaten und in Blockchain-Netzwerken?

Sicheres Computing mit mehreren Parteien

Für Geschäftstransaktionen und die Zusammenarbeit an Projekten müssen Informationen von mehreren Parteien verwendet werden. Häufig sind die so geteilten Daten vertraulich. Bei den Daten kann es sich um personenbezogene Informationen, Finanzdaten, Patientenakten, Daten von Bürger*innen usw. handeln. Öffentliche und private Organisationen verlangen, dass ihre Daten vor nicht autorisiertem Zugriff geschützt sind. Manchmal möchten diese Organisationen sogar Daten vor dem Betreiber der Computinginfrastruktur oder Technikern, Sicherheitsarchitekten, Unternehmensberatern und Data Scientists schützen.

Beispielsweise ist die Verwendung von maschinellem Lernen für Gesundheitsdienstleistungen stark gestiegen, da es mehr Zugriff auf größere Datasets und Bilder von Patienten gibt, die von medizinischen Geräten erfasst wurden. Wenn es viele Datenquellen gibt, verbessern sich die Krankheitsdiagnose und die Entwicklung von Medizin. Krankenhäuser und medizinische Einrichtungen können zusammenarbeiten, indem sie Patientenakten in einer zentralisierten vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) teilen. Dienste für maschinelles Lernen, die in der TEE ausgeführt werden, aggregieren und analysieren diese Daten dann. Diese aggregierte Datenanalyse kann eine höhere Vorhersagegenauigkeit bieten, da Modelle mithilfe konsolidierter Datasets trainiert werden. Mit Confidential Computing können Einrichtungen das Risiko für eine Beeinträchtigung der Privatsphäre ihrer Patienten minimieren.

Azure Confidential Computing ermöglicht die Verarbeitung von Daten aus mehreren Quellen, ohne die Eingabedaten für andere Parteien offenzulegen. Diese Art der sicheren Verarbeitung ermöglicht zahlreiche Szenarien. Hierzu zählen beispielsweise Geldwäschebekämpfung, Betrugserkennung und die sichere Analyse von Gesundheitsdaten.

Daten können von mehreren Quellen in eine Enklave auf einem virtuellen Computer hochgeladen werden. Eine Partei weist die Enklave an, Berechnungen oder Verarbeitungsvorgänge für die Daten durchzuführen. Die Daten, die von anderen Parteien in die Enklave hochgeladen wurden, sind für die jeweils anderen Parteien nicht sichtbar (auch nicht für die Partei, die die Analyse durchführt).

Beim sicheren Computing mit mehreren Parteien werden verschlüsselte Daten in die Enklave übertragen. Die Enklave entschlüsselt die Daten mithilfe eines Schlüssels, führt eine Analyse durch, ruft ein Ergebnis ab und sendet ein verschlüsseltes Ergebnis zurück, das eine Partei mit dem angegebenen Schlüssel entschlüsseln kann.

Geldwäschebekämpfung

In diesem Beispiel für sicheres Computing mit mehreren Parteien tauschen mehrere Banken Daten aus, ohne persönliche Daten Ihrer Kunden offenzulegen. Banken führen vereinbarte Analysen für das kombinierte vertrauliche Dataset durch. Durch die Analyse des aggregierten Datasets können Geldbewegungen eines Benutzers zwischen mehreren Banken erkannt werden, ohne dass die Banken auf die Daten der jeweils anderen Banken zugreifen.

Dank Confidential Computing können diese Finanzinstitute die Betrugserkennungsrate erhöhen, Maßnahmen gegen Geldwäsche ergreifen, False Positives reduzieren und weitere Erkenntnisse aus umfangreicheren Datasets gewinnen.

Grafik: Freigeben von Daten für mehrere Parteien bei Banken mit der durch Confidential Computing ermöglichten Datenbewegung

Medikamentenentwicklung im Gesundheitswesen

Partnergesundheitseinrichtungen steuern private Gesundheitsdatasets bei, um ein Machine Learning-Modell zu trainieren. Die einzelnen Einrichtungen haben jeweils nur Zugriff auf ihr eigenes Dataset. Die Daten und das Trainingsmodell sind weder für eine andere Einrichtung noch für den Cloudanbieter sichtbar. Alle Einrichtungen profitieren von der Nutzung des trainierten Modells. Durch die Erstellung eines Modells mit mehr Daten wurde das Modell genauer. Jede Einrichtung, die zum Trainieren des Modells beigetragen hat, kann das Modell nutzen und hilfreiche Ergebnisse erhalten.

Abbildung mit vertraulichen Szenarien im Gesundheitswesen mit dem Nachweis zwischen Szenarien

Schutz der Privatsphäre mit IoT-Lösungen und Lösungen für intelligente Gebäude

In vielen Ländern/Regionen gelten strenge Datenschutzgesetze zum Erfassen und Verwenden von Daten über die Anwesenheit und Bewegungen von Personen in Gebäuden. Diese können direkt personenbezogene Daten aus der Videoüberwachung oder dem Scannen von Sicherheitsausweisen umfassen. Dazu gehören auch indirekt identifizierbare Daten, wenn unterschiedliche Sensordaten als personenbezogen angesehen werden könnten, wenn sie zusammengefügt werden.

Der Schutz der Privatsphäre muss mit den Kosten und Umweltanforderungen in Einklang gebracht werden, da Unternehmen die Belegung/Bewegung nachvollziehen möchten, um Energie für Heizung und Beleuchtung eines Gebäudes möglichst effizient zu nutzen.

Um festzustellen, welche Bereiche einer Unternehmensimmobilie von Mitarbeiter*innen einzelner Abteilungen unter- oder überbelegt sind, müssen in der Regel neben weniger individuellen Daten wie Temperatur- und Lichtsensoren auch einige personenbezogene Daten verarbeitet werden.

In diesem Anwendungsfall geht es in erster Linie darum, die Analysen von Belegungsdaten und Temperatursensoren zusammen mit Daten von Bewegungsmeldern der Videoüberwachung und Sicherheitsausweisen zu verarbeiten, um die Nutzung nachzuvollziehen, ohne die aggregierten Rohdaten offenzulegen.

Hier wird Confidential Computing verwendet, indem die Analyseanwendung (die in diesem Beispiel in vertraulichen Containerinstanzen ausgeführt wird) in einer vertrauenswürdigen Ausführungsumgebung platziert wird, in der die verwendeten Daten durch Verschlüsselung geschützt sind.

Die aggregierten Datasets aus zahlreichen Arten von Sensor- und Datenfeeds werden in einer Azure SQL Always Encrypted-Datenbank mit Enclaves verwaltet. Dies schützt verwendete Abfragen durch Verschlüsselung im Arbeitsspeicher. Dadurch wird verhindert, dass Serveradministrator*innen auf das aggregierte Dataset zugreifen können, während es abgefragt und analysiert wird.

Verschiedene Sensoren speisen eine Analyselösung in einer vertrauenswürdigen Ausführungsumgebung. Operatoren haben keinen Zugriff auf verwendete Daten im TEE.

Gilt häufig für FSI und das Gesundheitswesen, wenn gesetzliche oder regulatorische Anforderungen gelten, die einschränken, wo bestimmte Workloads verarbeitet und im Ruhezustand gespeichert werden können.

In diesem Anwendungsfall verwenden wir eine Kombination aus Azure Confidential Compute-Technologien mit Azure Policy, Netzwerksicherheitsgruppen (NSGs) und bedingtem Microsoft Entra-Zugriff, um sicherzustellen, dass die folgenden Schutzziele für das „Lift & Shift“ einer vorhandenen Anwendung erreicht werden:

  • Die Anwendung wird vor dem Cloudoperator geschützt, während sie mit Confidential Compute verwendet wird
  • Anwendungsressourcen können nur in der Azure-Region „Europa, Westen“ bereitgestellt werden
  • Consumer der Anwendung, die sich mit modernen Authentifizierungsprotokollen authentifizieren, können der souveränen Region zugeordnet werden, von der aus sie eine Verbindung herstellen, und der Zugriff kann ihnen verweigert werden, es sei denn, sie befinden sich in einer zulässigen Region.
  • Der Zugriff über administrative Protokolle (RDP, SSH usw.) ist auf den Zugriff über den Azure Bastion-Dienst beschränkt, der in Privileged Identity Management (PIM) integriert ist. Die PIM-Richtlinie erfordert eine Richtlinie für bedingten Zugriff, die überprüft, von welcher souveränen Region aus der Administrator zugreift.
  • Alle Dienste protokollieren Aktionen in Azure Monitor.

Diagramm zeigt die Workloads, die durch Azure Confidential Compute geschützt und durch die Azure-Konfiguration, einschließlich Azure Policy und bedingter Zugriff, ergänzt werden.

Fertigung – Schutz des geistigen Eigentums (Intellectual Property, IP)

Fertigungsorganisationen schützen das geistige Eigentum rund um ihre Fertigungsprozesse und -technologien. Häufig wird die Fertigung an Dritte ausgelagert, die sich mit den physischen Produktionsprozessen befassen, was als „feindliche“ Umgebungen betrachtet werden könnte, in denen aktive Bedrohungen für den Diebstahl des geistigen Eigentums bestehen.

In diesem Beispiel entwickelt Tailspin Toys eine neue Spielzeuglinie. Die spezifischen Abmessungen und innovativen Designs ihrer Spielzeuge sind Firmeneigentum und sie wollen sie sicher aufbewahren, während sie gleichzeitig flexibel sind, welches Unternehmen sie für die physische Herstellung ihrer Prototypen wählen.

Contoso, ein Unternehmen für qualitativ hochwertigen 3D-Druck und Tests, stellt Systeme bereit, mit denen Prototypen physisch in großem Maßstab gedruckt und den Sicherheitstests unterzogen werden, die für Sicherheitsgenehmigungen erforderlich sind.

Contoso stellt kundenseitig verwaltete Containeranwendungen und Daten innerhalb des Contoso-Mandanten bereit, der seine 3D-Druckmaschinen über eine API vom Typ IoT verwendet.

Contoso verwendet die Telemetriedaten aus den physischen Fertigungssystemen, um seine Systeme für Abrechnung, Planung und Materialbestellung zu steuern, während Tailspin Toys Telemetriedaten aus seiner Anwendungssammlung verwendet, um zu bestimmen, wie erfolgreich seine Spielzeuge hergestellt werden können und wie hoch die Fehlerraten sind.

Contoso-Operatoren können die Tailspin Toys-Anwendungssammlung mithilfe der bereitgestellten Containerimages über das Internet in den Contoso-Mandanten laden.

Die Tailspin Toys-Konfigurationsrichtlinie schreibt die Bereitstellung auf Hardware mit aktiviertem Confidential Compute vor, sodass alle Tailspin-Anwendungsserver und -Datenbanken geschützt werden, während sie von Contoso-Administratoren verwendet werden, obwohl sie im Contoso-Mandanten ausgeführt werden.

Wenn beispielsweise ein böswilliger Administrator bei Contoso versucht, die von Tailspin Toys bereitgestellten Container auf allgemeine x86-Computehardware zu verschieben, die kein Trusted Execution Environment bereitstellen kann, könnte dies eine potenziellen Offenlegung von vertraulichem geistigem Eigentum bedeuten.

In diesem Fall würde sich das Richtlinienmodul der Azure-Containerinstanz weigern, die Entschlüsselungsschlüssel freizugeben oder Container zu starten, wenn der Nachweisaufruf zeigt, dass die Richtlinienanforderungen nicht erfüllt werden können. So wird sichergestellt, dass das geistige Eigentum von Tailspin Toys während der Verwendung und im Ruhezustand geschützt ist.

Die Tailspin Toys-Anwendung selbst ist so codiert, dass sie in regelmäßigen Abständen den Nachweisdienst aufruft und die Ergebnisse über das Internet an Tailspin Toys zurückgibt, um sicherzustellen, dass ein kontinuierlicher Heartbeat des Sicherheitsstatus vorhanden ist.

Der Nachweisdienst gibt kryptografisch signierte Details von der Hardware zurück, die den Contoso-Mandanten unterstützt, um zu überprüfen, ob die Workload wie erwartet in einer vertraulichen Enklave ausgeführt wird, der Nachweis außerhalb der Kontrolle der Contoso-Administratoren liegt und auf dem Hardware-Vertrauensstamm basiert, den Confidential Compute bereitstellt.

Diagramm eines Dienstanbieters, der eine industrielle Steuerungssuite eines Spielzeugherstellers innerhalb eines Trusted Execution Environment (TEE) ausführt.

Verbesserter Datenschutz für Kundendaten

Obwohl die Sicherheitsstufe von Microsoft Azure sich schnell zu einem der wichtigsten Faktoren für die Cloud Computing-Einführung entwickelt, ist das Vertrauen der Kundschaft in ihren Anbieter nicht immer gleich. Kundenwünsche:

  • Minimale Hardware, Software und Betriebs-TCBs (Trusted Computing Bases) für vertrauliche Workloads
  • Technische Erzwingung anstelle von Geschäftsrichtlinien und -prozessen
  • Transparenz in Bezug auf die gewährten Garantien, das Restrisiko und mögliche Gegenmaßnahmen

Dies sind genau die Dinge, die Confidential Computing angeht, indem Kund*innen die inkrementelle Kontrolle über die TCB erhalten, die zum Ausführen ihrer Cloudworkloads verwendet wird. Mit Azure Confidential Computing können Kund*innen genau die Hardware- und Softwarekomponenten definieren, die Zugriff auf ihre Workloads (Daten und Code) haben. Außerdem bietet der Dienst die technischen Mechanismen, um diese Garantien überprüfbar durchzusetzen. Kurz gesagt: Die Kundschaft behält die vollständige Kontrolle über ihre Geheimnisse.

Datenhoheit

In Behörden und öffentlichen Einrichtungen stellt Azure Confidential Computing eine Lösung dar, um das Vertrauen in die Fähigkeit zum Schutz der Datenhoheit in der öffentlichen Cloud zu erhöhen. Darüber hinaus kann dank der zunehmenden Einführung von Confidential Computing-Funktionen in PaaS-Dienste in Azure ein höheres Maß an Vertrauen mit geringeren Auswirkungen auf die Innovationsfähigkeit von öffentlichen Clouddiensten erreicht werden. Diese Kombination aus dem Schutz der Datenhoheit und einer geringeren Auswirkung auf die Innovationsfähigkeit macht Azure Confidential Computing zu einer sehr effektiven Lösung für die Anforderungen an die Datenhoheit und die digitale Transformation von Regierungsdiensten.

Reduzierte Vertrauenskette

Enorme Investitionen und revolutionäre Innovationen in Confidential Computing haben es ermöglicht, den Clouddienstanbieter in nie dagewesenem Maße aus der Vertrauenskette herauszuhalten. Azure Confidential Computing bietet das höchste Maß an Datenhoheit, das heute auf dem Markt verfügbar ist. Dadurch können Kundschaft und Behörden ihre derzeitigen Anforderungen an die Datenhoheit erfüllen und auch in Zukunft auf Innovationen setzen.

Mit Confidential Computing können Sie die Anzahl von Workloads erhöhen, die für die Bereitstellung in der öffentlichen Cloud geeignet sind. Dies kann zu einer schnellen Einführung öffentlicher Dienste für Migrationsvorgänge und neue Workloads führen, den Sicherheitsstatus der Kundschaft schnell zu verbessern helfen und innovative Szenarien ermöglichen.

BYOK-Szenarien (Bring Your Own Key)

Die Einführung von Hardwaresicherheitsmodulen (HSM) ermöglicht die sichere Übertragung von Schlüsseln und Zertifikaten in einen geschützten Cloudspeicher (Azure Key Vault Managed HSM), ohne dass der Clouddienstanbieter auf diese vertraulichen Informationen zugreifen kann. Die übertragenen Geheimnisse liegen außerhalb des HSM niemals im Klartext vor. Dies ermöglicht Szenarien für die Datenhoheit von Schlüsseln und Zertifikaten, die vom Client generiert und verwaltet werden, aber dennoch einen cloudbasierten sicheren Speicher nutzen.

Sichere Blockchain

Bei einem Blockchain-Netzwerk handelt es sich um ein dezentralisiertes Netzwerk von Knoten. Diese Knoten werden von Operatoren oder Validierern betrieben und gepflegt, deren Ziel darin besteht, die Integrität zu wahren und einen Konsens hinsichtlich des Netzwerkzustands zu erreichen. Die Knoten selbst sind Replikate von Ledgern und dienen zur Nachverfolgung von Blockchain-Transaktionen. Jeder Knoten verfügt über eine vollständige Kopie des Transaktionsverlaufs, um die Integrität und Verfügbarkeit in einem verteilten Netzwerk zu gewährleisten.

Auf Confidential Computing aufbauende Blockchain-Technologien ermöglichen die Nutzung von hardwarebasiertem Datenschutz, um die Vertraulichkeit von Daten sowie sichere Berechnungen sicherzustellen. In einigen Fällen wird auch das gesamte Ledger verschlüsselt, um den Datenzugriff zu schützen. Manchmal wird die eigentliche Transaktion unter Umständen in einem Computemodul innerhalb der Enklave im Knoten abgewickelt.