Compartilhar via

Casos de uso de computação confidencial

Ao usar tecnologias de computação confidenciais, você pode proteger seu ambiente virtualizado do host, do hipervisor, do administrador do host e até mesmo do seu próprio administrador de VM (máquina virtual). Dependendo do seu modelo de ameaça, você pode usar várias tecnologias para:

  • Impedir o acesso não autorizado. Execute dados confidenciais na nuvem. Confie que o Azure oferece a melhor proteção de dados possível, com pouca ou nenhuma alteração no que é feito atualmente.
  • Cumpra as exigências regulatórias. Migre para a nuvem e mantenha o controle total dos dados para atender às regulamentações governamentais para proteger informações pessoais e proteger o IP organizacional.
  • Verifique a colaboração segura e não confiável. Resolva problemas de escala de trabalho em todo o setor combinando dados entre organizações, até mesmo concorrentes, para desbloquear análises de dados amplas e insights mais profundos.
  • Isolar o processamento. Ofereça uma nova gama de produtos que eliminam a responsabilidade sobre dados privados por meio de processamento invisível. O provedor de serviços não pode recuperar dados do usuário.

Cenários de computação confidencial

A computação confidencial pode se aplicar a vários cenários para proteger dados em setores regulamentados, como governo, serviços financeiros e institutos de saúde.

Por exemplo, impedir o acesso a dados confidenciais ajuda a proteger a identidade digital dos cidadãos de todas as partes envolvidas, incluindo o provedor de nuvem que os armazena. Os mesmos dados confidenciais podem conter dados biométricos usados para localizar e remover imagens conhecidas de exploração infantil, prevenção do tráfico humano e auxílio a investigações forenses digitais.

Captura de tela que mostra casos de uso para computação confidencial do Azure, incluindo cenários governamentais, de serviços financeiros e de saúde.

Este artigo fornece uma visão geral de vários cenários comuns. As recomendações neste artigo servem como ponto de partida à medida que você desenvolve seu aplicativo usando estruturas e serviços de computação confidenciais.

Depois de ler este artigo, você pode responder às seguintes perguntas:

  • Quais são alguns dos cenários para a computação confidencial do Azure?
  • Quais são os benefícios de usar a computação confidencial do Azure para cenários multipartidários, a privacidade de dados do cliente aprimorada e as redes blockchain?

Computação multipartidária segura

Transações comerciais e colaboração de projeto exigem o compartilhamento de informações entre várias partes. Muitas vezes, os dados compartilhados são confidenciais. Os dados podem ser informações pessoais, registros financeiros, registros médicos ou dados de cidadãos privados.

As organizações públicas e privadas exigem que seus dados sejam protegidos contra acesso não autorizado. Às vezes, essas organizações também querem proteger dados de operadores ou engenheiros de infraestrutura de computação, arquitetos de segurança, consultores de negócios e cientistas de dados.

Por exemplo, o uso do machine learning para serviços de saúde cresceu significativamente por meio do acesso a conjuntos de dados maiores e imagens de pacientes capturados por dispositivos médicos. O diagnóstico de doenças e o desenvolvimento de medicamentos se beneficiam de várias fontes de dados. Hospitais e institutos de saúde podem colaborar compartilhando seus registros médicos de pacientes com um TEE (Ambiente de Execução Confiável) centralizado.

Os serviços de aprendizado de máquina em execução no TEE agregam e analisam dados. Essa análise de dados agregada pode fornecer maior precisão de previsão devido a modelos de treinamento baseados em conjuntos de dados consolidados. Com a computação confidencial, os hospitais podem minimizar o risco de comprometer a privacidade de seus pacientes.

A computação confidencial do Azure permite processar dados de várias fontes sem expor os dados de entrada a outras entidades. Esse tipo de computação segura permite cenários como lavagem de dinheiro, detecção de fraudes e análise segura de dados de saúde.

Várias fontes podem carregar seus dados em um enclave em uma VM. Uma entidades diz ao enclave para fazer a computação ou o processamento dos dados. Nenhuma das partes (nem mesmo aquela que executa a análise) pode ver os dados de outra parte que foram carregados no enclave.

Na computação multipartida segura, os dados criptografados entram no enclave. O enclave descriptografa os dados usando uma chave, executa a análise, obtém um resultado e envia de volta um resultado criptografado que uma parte pode descriptografar com a chave designada.

Antilavagem de dinheiro

Neste exemplo de computação multipartidária segura, vários bancos compartilham dados uns com os outros sem expor dados pessoais de seus clientes. Os bancos executam análises acordadas no conjunto de dados confidencial combinado. A análise no conjunto de dados agregado pode detectar a movimentação de dinheiro por um usuário entre vários bancos, sem que os bancos acessem os dados uns dos outros.

Por meio da computação confidencial, essas instituições financeiras podem aumentar as taxas de detecção de fraudes, lidar com cenários de lavagem de dinheiro, reduzir falsos positivos e continuar aprendendo com conjuntos de dados maiores.

Gráfico que mostra o compartilhamento de dados multipartidários para bancos, mostrando a movimentação de dados que a computação confidencial permite.

Desenvolvimento de fármacos no setor de saúde

As instalações de saúde parceiras contribuem com conjuntos de dados privados de saúde para treinar um modelo de aprendizado de máquina. Cada instalação pode ver apenas seu próprio conjunto de dados. Nenhuma outra instalação, ou mesmo o provedor de nuvem, pode ver os dados ou o modelo de treinamento. Todas as instalações se beneficiam do uso do modelo treinado. Quando o modelo é criado com mais dados, o modelo se torna mais preciso. Cada instalação que contribui para o treinamento do modelo pode usá-lo e receber resultados úteis.

Diagrama que mostra cenários confidenciais de saúde, mostrando a confirmação entre cenários.

Protegendo a privacidade com soluções de criações inteligentes e IoT

Muitos países ou regiões têm leis de privacidade rigorosas sobre a coleta e o uso de dados sobre a presença e os movimentos das pessoas dentro dos edifícios. Esses dados podem incluir informações que são dados de identificação pessoal do circuito fechado de televisão (CCTV) ou escaneamentos de crachá de segurança. Ou pode ser indiretamente identificável, mas quando agrupado com diferentes conjuntos de dados do sensor, ele pode ser considerado pessoalmente identificável.

A privacidade deve ser equilibrada com o custo e as necessidades ambientais em cenários em que as organizações desejam entender a ocupação ou a movimentação para fornecer o uso mais eficiente de energia para aquecer e acender um edifício.

Determinar quais áreas de imóveis corporativos estão subocupadas ou superocupadas por funcionários de departamentos individuais normalmente requer o processamento de alguns dados de identificação pessoal, juntamente com menos dados individuais, como sensores de temperatura e luz.

Nesse caso de uso, o objetivo principal é permitir que a análise de dados de ocupação e sensores de temperatura seja processada juntamente com sensores de rastreamento de movimento de CCTV e dados de passar o dedo para entender o uso sem expor os dados de agregação brutos a ninguém.

A computação confidencial é usada aqui colocando o aplicativo de análise dentro de um TEE em que os dados em uso são protegidos pela criptografia. Neste exemplo, o aplicativo está em execução em contêineres confidenciais em Instâncias de Contêiner do Azure.

Os conjuntos de dados agregados de muitos tipos de sensores e feeds de dados são gerenciados em um banco de dados SQL do Azure com o recurso Always Encrypted com enclaves seguros. Esse recurso protege as consultas em uso criptografando-as na memória. O administrador do servidor é impedido de acessar o conjunto de dados de agregação enquanto ele está sendo consultado e analisado.

Diagrama que mostra sensores diversos que alimentam uma solução de análise dentro de um TEE. Os operadores não têm acesso a dados em uso dentro do TEE.

Os requisitos legais ou regulatórios geralmente são aplicados ao FSI e aos serviços de saúde para limitar onde determinadas cargas de trabalho são processadas e armazenadas em repouso.

Nesse caso de uso, as tecnologias de computação confidencial do Azure são usadas com o Azure Policy, os NSGs (grupos de segurança de rede) e o Acesso Condicional do Microsoft Entra para garantir que as seguintes metas de proteção sejam atendidas para a rehosting de um aplicativo existente:

  • O aplicativo é protegido contra o operador de nuvem enquanto está em uso usando computação confidencial.
  • Os recursos do aplicativo são implantados apenas na região oeste da Europa do Azure.
  • Os consumidores do aplicativo que se autenticam com protocolos de autenticação modernos são mapeados para a região soberana da qual estão se conectando. O acesso é negado, a menos que esteja em uma região permitida.
  • O acesso usando protocolos administrativos (como o Protocolo de Área de Trabalho Remota e o protocolo Secure Shell) é limitado ao acesso do Azure Bastion, que é integrado ao PIM (Privileged Identity Management). A política do PIM requer uma política de Acesso Condicional do Microsoft Entra que valide a região soberana da qual o administrador está acessando.
  • Todos os serviços registram ações no Azure Monitor.

Diagrama que mostra cargas de trabalho protegidas pela computação confidencial do Azure e complementadas com a configuração do Azure, incluindo o Azure Policy e o Microsoft Entra Conditional Access.

Fabricação: proteção de IP

As organizações de fabricação protegem o IP em torno de seus processos e tecnologias de fabricação. Geralmente, a fabricação é terceirizada para partes que não são da Microsoft que lidam com processos de produção física. Essas empresas podem ser consideradas ambientes hostis em que há ameaças ativas para roubar esse IP.

Neste exemplo, a Tailspin Toys está desenvolvendo uma nova linha de brinquedos. As dimensões específicas e os designs inovadores de seus brinquedos são patenteados. A empresa quer manter os designs seguros, mas também ser flexível sobre qual empresa escolhe produzir fisicamente seus protótipos.

A Contoso, uma empresa de impressão e teste 3D de alta qualidade, fornece os sistemas que imprimem fisicamente protótipos em grande escala e os executa através de testes de segurança necessários para aprovações de segurança.

A Contoso implanta dados e aplicativos em contêineres gerenciados pelo cliente no locatário da Contoso, que usa suas máquinas de impressão 3D por meio de uma API do tipo IoT.

A Contoso usa a telemetria dos sistemas de fabricação física para impulsionar seus sistemas de cobrança, agendamento e ordenação de materiais. A Tailspin Toys usa telemetria de seu pacote de aplicativos para determinar a eficácia de fabricação de seus brinquedos e as taxas de incidência de defeitos.

Os operadores da Contoso podem carregar o pacote de aplicativos Tailspin Toys no locatário da Contoso usando as imagens de contêiner fornecidas pela Internet.

A política de configuração da Tailspin Toys obriga a implantação em hardware habilitado com computação confidencial. Como resultado, todos os servidores de aplicativos e bancos de dados da Tailspin Toys são protegidos contra administradores da Contoso enquanto estão em uso, mesmo que estejam em execução no locatário da Contoso.

Por exemplo, um administrador sem escrúpulos da Contoso pode tentar mover os contêineres fornecidos pela Tailspin Toys para hardware de computação x86 comum incapaz de fornecer um TEE. Esse comportamento pode significar a exposição potencial de IP confidencial.

Nesse caso, o mecanismo de política da Instância de Contêiner do Azure se recusa a liberar as chaves de descriptografia ou a iniciar contêineres se a chamada de atestado revelar que os requisitos da política não podem ser atendidos. O IP da Tailspin Toys é protegido em uso e em repouso.

O próprio aplicativo Tailspin Toys é codificado para fazer periodicamente uma chamada para o serviço de atestado e informar os resultados à Tailspin Toys pela Internet, para garantir que haja um batimento cardíaco contínuo do status de segurança.

O serviço de atestado retorna detalhes assinados criptograficamente do hardware que dá suporte ao tenant Contoso para validar que a carga de trabalho está sendo executada dentro de um enclave confidencial conforme o esperado. O atestado está fora do controle dos administradores da Contoso e se baseia na raiz de hardware da confiança fornecida pela computação confidencial.

Diagrama que mostra um provedor de serviços que executa um conjunto de controle industrial de um fabricante de brinquedos dentro de um TEE.

Privacidade aprimorada dos dados do cliente

Embora o nível de segurança fornecido pelo Azure esteja rapidamente se tornando um dos principais drivers para a adoção da computação em nuvem, os clientes confiam em seus provedores em diferentes extensões. Os clientes pedem:

  • Hardware mínimo, software e TCBs (bases de computação confiáveis) operacionais para cargas de trabalho confidenciais.
  • Imposição técnica em vez de apenas políticas e processos de negócios.
  • Transparência sobre as garantias, os riscos residuais e as atenuações que eles obtêm.

A computação confidencial permite que os clientes tenham controle incremental do TCB que é usado para executar suas cargas de trabalho na nuvem. Os clientes podem definir precisamente todo o hardware e software que têm acesso às suas cargas de trabalho (dados e código). A computação confidencial do Azure fornece os mecanismos técnicos para impor essa garantia de forma verificável. Em suma, os clientes retêm o controle total sobre seus segredos.

Soberania de dados

Em órgãos públicos e governamentais, a computação confidencial do Azure gera o grau de confiança na capacidade da solução de proteger a soberania de dados na nuvem pública. Graças à crescente adoção de recursos de computação confidencial nos serviços de PaaS no Azure, um maior grau de confiança é obtido com um efeito reduzido na capacidade de inovação fornecida pelos serviços de nuvem pública.

A computação confidencial do Azure é uma resposta efetiva às necessidades de soberania e transformação digital dos serviços governamentais.

Cadeia de confiança reduzida

Devido ao investimento e à inovação na computação confidencial, o provedor de serviços de nuvem agora é removido da cadeia de confiança para um grau significativo.

A computação confidencial pode expandir o número de cargas de trabalho qualificadas para implantação em nuvem pública. O resultado é a rápida adoção de serviços públicos para migrações e novas cargas de trabalho, o que melhora a postura de segurança dos clientes e habilita rapidamente cenários inovadores.

Cenários BYOK (Bring Your Own Key)

A adoção de HSMs (módulos de segurança de hardware), como o HSM Gerenciado do Azure Key Vault , permite a transferência segura de chaves e certificados para o armazenamento em nuvem protegido. Com um HSM, o provedor de serviços de nuvem não tem permissão para acessar essas informações confidenciais.

Os segredos que estão sendo transferidos nunca existem fora de um HSM em forma de texto simples. Cenários para a soberania de chaves e certificados que são gerados pelo cliente e gerenciados ainda podem usar o armazenamento seguro baseado em nuvem.

Blockchain seguro

Uma rede de blockchain é uma rede descentralizada de nós. Esses nós são executados e mantidos por operadores ou validadores que desejam garantir a integridade e chegar a um consenso sobre o estado da rede. Os nós são réplicas de livros-razão e são usados para rastrear transações de blockchain. Cada nó tem uma cópia completa do histórico de transações, o que ajuda a garantir a integridade e a disponibilidade em uma rede distribuída.

As tecnologias de blockchain criadas com base na computação confidencial podem usar a privacidade baseada em hardware para permitir a confidencialidade dos dados e a computação segura. Em alguns casos, todo o livro razão é criptografado para proteger o acesso a dados. Às vezes, a transação pode ocorrer em um módulo de computação dentro do enclave do nó.

  • Last updated on