Omitir navegación

Fundamentos clave para proteger los datos con la computación confidencial de Azure

Publicado el 2 noviembre, 2021

Chief Technology Officer and Technical Fellow, Microsoft Azure

El crecimiento exponencial de los conjuntos de datos ha dado lugar a un aumento de la exposición de los datos, desde el punto de vista tanto de la privacidad de los datos de los consumidores como del cumplimiento normativo. En este contexto, la computación confidencial se convierte en una herramienta importante para ayudar a las organizaciones a satisfacer sus necesidades de privacidad y seguridad en torno a los datos empresariales y de los consumidores.

La tecnología de la computación confidencial cifra los datos en memoria y solo los procesa una vez que se ha comprobado el entorno en la nube. De este modo, impide que los operadores de nube, administradores malintencionados y el software con privilegios, como el hipervisor, accedan a los datos. Ayuda a mantener los datos protegidos a lo largo de su ciclo de vida: además de las soluciones de protección de datos en reposo y en tránsito, ahora los datos están protegidos mientras se usan.

Gracias a la computación confidencial, organizaciones de todo el mundo tienen ahora nuevas oportunidades que antes no eran posibles. Por ejemplo, ahora pueden beneficiarse del análisis de datos de varias partes y el aprendizaje automático que combinan conjuntos de datos de partes que no estaban dispuestas a compartirlos o no podían, manteniendo la privacidad de los datos entre los participantes. De hecho, RBC creó una plataforma de análisis que mantiene la privacidad para que los clientes puedan optar a descuentos optimizados. La plataforma genera información sobre las preferencias de compra de los consumidores al combinar de manera confidencial las transacciones de las tarjetas de crédito y débito de RBC con los datos de los minoristas sobre los artículos específicos que compraron los consumidores.

Liderazgo en el sector y normalización

Microsoft ha sido durante mucho tiempo un líder de pensamiento en el campo de la computación confidencial. Azure introdujo la “computación confidencial” en la nube cuando nos convertimos en el primer proveedor de nube en ofrecer máquinas virtuales de computación confidencial y contenedores confidenciales en Kubernetes para que los clientes ejecuten sus cargas de trabajo más confidenciales en entornos de ejecución de confianza (TEE). Microsoft también es miembro fundador de Confidential Computing Consortium (CCC), un grupo que reúne a fabricantes de hardware y proveedores de nube y de soluciones para trabajar juntos en nuevas formas de mejorar y normalizar la protección de los datos en el sector tecnológico.

Fundamentos de la computación confidencial

Nuestros requisitos de confidencialidad igualan y superan los establecidos por CCC, con el fin de proporcionar una base completa para la computación confidencial. Nos esforzamos por proporcionar a los clientes controles técnicos para aislar los datos de los operadores de Microsoft, sus propios operadores o ambos. En Azure, tenemos ofertas de computación confidencial que van más allá del aislamiento del hipervisor entre inquilinos de clientes para ayudar a proteger los datos de los clientes del acceso de los operadores de Microsoft. También tenemos computación confidencial con enclaves seguros para ayudar a evitar el acceso de los operadores de los clientes.

Nuestra base para la computación confidencial incluye:

  • Raíz de confianza del hardware para garantizar que los datos estén protegidos y asegurados en los chips de silicio. La confianza tiene su origen en el fabricante de hardware, de manera que ni los operadores de Microsoft pueden modificar la configuración del hardware.
  • Atestación remota para que los clientes comprueben directamente la integridad del entorno. Los clientes pueden comprobar que tanto el hardware como el software donde se ejecutan sus cargas de trabajo son versiones aprobadas y protegidas antes de permitirles acceder a los datos.
  • Inicio seguro es el mecanismo que garantiza el arranque de las máquinas virtuales con software autorizado y que usa la atestación remota para que los clientes puedan comprobarlo. Está disponible para todas las máquinas virtuales, incluidas las de computación confidencial, con arranque seguro y vTPM, para lograr una mayor defensa contra rootkits, bootkits y firmware malintencionado.
  • Cifrado y aislamiento de memoria para asegurar que los datos estén protegidos durante el procesamiento. Azure ofrece aislamiento de memoria por máquina virtual, contenedor o aplicación para satisfacer las distintas necesidades de los clientes, y el cifrado basado en hardware para evitar la visualización no autorizada de los datos, incluso con acceso físico en el centro de datos.
  • Administración segura de claves para asegurar que las claves permanezcan cifradas durante su ciclo de vida y se entreguen únicamente al código autorizado.

Los componentes anteriores juntos constituyen los fundamentos de lo que consideramos computación confidencial. Y, en la actualidad, Azure tiene más opciones de computación confidencial para hardware y software que cualquier otro proveedor de nube.

Nuevo hardware innovador

Nuestras nuevas máquinas virtuales confidenciales DCsv3 basadas en Intel incluyen la tecnología Intel SGX, que permite implementar enclaves de aplicaciones protegidos por hardware. Los desarrolladores pueden usar enclaves SGX para reducir al mínimo la cantidad de código que tiene acceso a datos confidenciales. Además, habilitaremos el cifrado total de memoria multiclave (TME-MK) para que cada máquina virtual se pueda proteger con una clave de hardware única.

Nuestras nuevas máquinas virtuales confidenciales DCasv5/ECasv5 basadas en AMD proporcionan virtualización cifrada segura y paginación anidada segura (SEV-SNP) para proporcionar máquinas virtuales aisladas por hardware que protegen los datos frente a otras máquinas virtuales, el hipervisor y el código de administración del host. Los clientes pueden migrar mediante lift-and-shift sus máquinas virtuales actuales sin cambiar el código y, opcionalmente, aprovechar el cifrado de disco mejorado con las claves que ellos administran o que administra Microsoft.

Con el fin de admitir cargas de trabajo contenedorizadas, estamos haciendo que todas nuestras máquinas virtuales confidenciales estén disponibles en Azure Kubernetes Service (AKS) como una opción de nodo de trabajo. Ahora, los clientes pueden proteger sus contenedores con las tecnologías Intel SGX o AMD SEV-SNP.

Las opciones de cifrado y aislamiento de memoria de Azure proporcionan una protección más sólida y completa de los datos de los clientes que cualquier otra nube.

Logros de clientes de todos los sectores

Muchas organizaciones aprovechan ya las grandes ventajas de privacidad y seguridad de los datos que ofrece la computación confidencial de Azure.

Secure AI Labs han estado usando una versión preliminar privada de nuestras máquinas virtuales basadas en AMD para crear una plataforma donde los investigadores sanitarios puedan colaborar más fácilmente con los prestadores de asistencia para avanzar en la investigación. Luis Huapaya, vicepresidente de ingeniería en Secure AI Labs Inc, comenta: “Gracias a la computación confidencial de Azure, Secure AI Labs puede aprovechar todas las ventajas de ejecutar sus cargas de trabajo en Azure sin sacrificar nunca la seguridad. Se podría decir que la ejecución de una carga virtual en la computación confidencial de Azure puede ser más segura que ejecutarla en un servidor privado en el entorno local. También ofrece atestación remota, una característica de seguridad fundamental, porque le proporciona a una carga virtual la capacidad de dar una prueba criptográfica de su identidad y comprobar su ejecución dentro de un enclave. La computación confidencial de Azure con AMD SEV-SNP nos facilita mucho el trabajo”.

Aunque los sectores regulados han sido los primeros en adoptarla, debido a las necesidades de cumplimiento normativo y a los datos altamente confidenciales, estamos observando un interés creciente en todos los sectores, desde la fabricación hasta el comercio minorista y la energía, por ejemplo.

Signal Messenger, una aplicación de mensajería mundial conocida por su alta seguridad y privacidad, aprovecha la computación confidencial de Azure con Intel SGX para proteger los datos de los clientes, como la información de contacto. Jim O’Leary, vicepresidente de ingeniería en Signal, afirma: “Con el fin de cumplir las expectativas de seguridad y privacidad de millones de personas cada día, utilizamos la computación confidencial de Azure para proporcionar entornos escalables y seguros para nuestros servicios. Para Signal, la prioridad son los usuarios y Azure nos ayuda a estar a la vanguardia de la protección de datos con la computación confidencial”.

Nos complace ver que las organizaciones traen más cargas de trabajo a Azure con confianza en la protección de datos que ofrece la computación confidencial de la plataforma para satisfacer las necesidades de privacidad de sus clientes.

La nube confidencial de Azure

Azure es el equipo informático del mundo que abarca desde la nube hasta el perímetro. Clientes de todos los tamaños y todos los sectores quieren innovar, crear y operar aplicaciones de forma segura entre entornos multinube, el entorno local y el perímetro. Del mismo modo que se ha generalizado el uso de HTTPS para proteger los datos durante la exploración web en Internet, aquí en Azure, creemos que la computación confidencial será un ingrediente necesario en todas las infraestructuras informáticas. 

Nuestra visión es transformar la nube de Azure en la nube confidencial de Azure, pasando de la informática sin problemas a la computación confidencial en toda la nube y el perímetro. Queremos capacitar a los clientes para que logren los niveles más altos de privacidad y seguridad para todas sus cargas de trabajo.

Junto con la inversión de 20 000 millones de dólares que realizaremos a lo largo de los próximos cinco años para mejorar nuestras soluciones de seguridad, colaboraremos con fabricantes de hardware e innovaremos en Microsoft para ofrecer a nuestros clientes los más altos niveles de seguridad y privacidad. En nuestro recorrido para convertirnos en la principal nube confidencial del mundo, impulsaremos la innovación en computación confidencial, tanto horizontalmente en toda la infraestructura de Azure como verticalmente en todos los servicios de Microsoft que se ejecutan en Azure.

Más información acerca de la computación confidencial de Azure.

Consulte más información sobre nuestras ofertas de computación confidencial más recientes

Empiece a usar servicios, herramientas y marcos confidenciales


Azure. Invente con un objetivo.