Whitepaper: Confidential Cloud

Whitepaper / Technical Report
Enemy in the clouds: protecting your cloud
assets from powerful adversaries
Confidential Cloud-Native Computing in Large Kubernetes Clusters

Inhalt
Management Summary 4
Hintergrund und Problemstellung 6
Intel® SGX: Technologische Relevanz und Einordnung 9
Implementierung und Architektur 11
Ergebnisse 12
Schlussfolgerungen 13
Weitere Anwendungsmöglichkeiten: Datenschutz im
Blockchain-Umfeld 14
Zusammenfassung 15
Autoren 16
Impressum
Whitepaper-Publikation August 2020
T-Systems Multimedia Solutions GmbH
Riesaer Straße 5, 01129 Dresden
Autoren
Dominik Nägele, Dr. Ivan Gudymenko, Dr. Christof Fetzer,
Heqing Zhu, Kapil Sood, James Greene, Paul O‘Neill
Organisation
Projektleitung: Julia Kunert
Layout: Peter Brücker
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige
Verwendung der Sprachformen männlich, weiblich
und divers verzichtet. Sämtliche Personenbezeichnungen
gelten gleichermaßen für alle Geschlechter.

Gefahr in der Cloud: Schützen Sie Ihre Cloud Ressourcen vor kritischen Bedrohungen
Management Summary
Management Summary
Am Markt wird eine sichere und vertrauenswürdige Bearbeitung von Daten gefordert. Die Daten
müssen nicht nur gemäß der Datenschutz-Grundverordnung verarbeitet werden, sondern
auch unter der vollständigen Kontrolle des Datenbesitzers bleiben (Datensouveränität). Die
Datensouveränität der Kunden soll selbst während und nach erfolgreichen Cyberangriffen
auf die zugrunde liegende Cloud-Infrastruktur geschützt werden. Dieses Prinzip soll sowohl
für externe Angriffe als auch bei Angriffen durch Insider (wie etwa Administratoren) mit vollem
Software- und Hardwarezugriff valide sein. Eine solche Garantie kann praktisch nur durch
die ununterbrochene Verschlüsselung und Integritätssicherung der Daten, der Programme
und aller Schlüssel gegeben werden (Confidential Computing). Applikationen, die auf diesem
Konzept basieren, adressieren somit direkt zwei der drei klassischen IT-Security-Schutzziele:
Vertraulichkeit (Confidentiality, daher „Confidential Computing“) und Integrität (Integrity).
Hochverfügbarkeit kann in diesem Kontext beispielsweise durch native Fähigkeiten von Kubernetes
realisiert werden.
Die breite Verwendung und Akzeptanz von Confidential Computing erfordert, dass dadurch
weder die Nutzungs- noch die Entwicklungsfreundlichkeit beeinträchtigt wird. Einfachheit
und geringer Zusatzaufwand stehen hier im Fokus. Trotz der bekannten Vorteile erweiterter
Sicherheit dürfen sich für die meisten Organisationen weder die Kosten für Entwicklung noch
für den Betrieb erhöhen. Moderne Cloud-Native-Anwendungen nutzen Container, Kubernetes,
Microservices, Continuous Integration/Continuous Deployment, DevOps und eine
Kombination von Open-Source- und Closed-Source-Software, die in verschiedenen Programmiersprachen
entwickelt werden. Confidential Cloud-Native Computing nutzt die gleichen
Methoden und bietet zusätzlich eine ununterbrochene Verschlüsselung, ohne dass eine Änderung
des Quellcodes der Anwendung erforderlich wäre. Die in der Cloud laufenden Workloads
können damit zusätzlich transparent abgesichert werden, mit einem für den Endanwender
minimalen Aufwand.
Methodology
Tools
Service-
Based
Development
API-Driven
Confidential
Computing
Abbildung 1: Entwicklung von Confidential Cloud-Native Applications
Containers
Deployment / operations
IDE (VC), Git, … SCONE Kubernetes, Docker
DevOps
Im Verlauf der letzten Monate wurde durch T-Systems, Intel und Scontain ein Proof of Concept
(PoC) für Confidential Cloud-Native Computing durchgeführt. Hierbei wurde untersucht,
wie die optimale Skalierung einer Container-basierten Microservice-Architektur realisiert
werden kann, bei gleichzeitiger Verschlüsselung der Daten und der Programme während deren
Verarbeitung. Dies wird unter Verwendung von Intel® Software Guard Extensions (Intel®
SGX) realisiert, da es die einzigartige Fähigkeit besitzt, ausgewählten Anwendungscode und
Daten im Hauptspeicher zu isolieren. Intel® SGX ermöglicht dies mit hardwarebasierter Speicherverschlüsselung,
so dass Anwendungsentwickler ihre Anwendungen in CPU-gehärtete
„Enklaven“ d.h. verschlüsselten Ausführungsbereichen im Speicher partitionieren können.
Um diese performant, sicher und ohne Anpassungen am Quellcode der in der Cloud laufenden
Applikationen zu realisieren, wurde die SCONE-Plattform eingesetzt.
Ziel des PoC war es, darzustellen, wie unter Berücksichtigung verschiedener Lastprofile der
Betrieb einer Intel®-SGX-basierten Container-Plattform effizient skaliert werden kann. Hierzu
wurden Last- und Performancetests mit unterschiedlichen Aufrufprofilen eingesetzt. Diese
lieferten belastbare Aussagen zur möglichst performanten und ressourcenoptimierten Skalierung
einer künftigen Betriebsplattform.
Die Erkenntnisse ermöglichen eine effiziente und optimale Nutzung der Hardware bei unterschiedlichen
Lastprofilen. Hierzu war eine der zentralen Zielgrößen, die Zahl paralleler
Microservices pro physischen Knoten zu maximieren, bei gleichzeitiger Einhaltung im Voraus
definierter Performance-Charakteristiken.
Hierzu wurde ein sicheres Dokumentenmanagement auf der T-Systems-Container-Plattform,
einschließlich zugehöriger Monitoring-Tools und -Skripte, implementiert. Insgesamt liefert
dies belastbare Aussagen für das stabile und skalierbare Verhalten der Container-Plattform
(inkl. des Dokumentenhandlings) für ca. 6.000 parallele Microservices, verteilt über 75 physische
Knoten.
4
5

Gefahr in der Cloud: Schützen Sie Ihre Cloud Ressourcen vor kritischen Bedrohungen
Hintergrund und Problemstellung
Hintergrund und Problemstellung
Unsere Problemstellung war es, die Praktikabilität einer realistischen Confidential Cloud-Native
Applikation zu untersuchen.
Confidential Cloud-Native Applikation erfordert darüber hinaus, dass alle Daten,
der Programmcode und alle Schlüssel ununterbrochen verschlüsselt bleiben:
Security
Focus
Confidential Cloud-Native Application Development
data, code, and keys are always encrypted
- at rest, in transit, in memory -
Speed to market
• at rest – persistent gespeichert auf Disks,
• in transit – während der Datenübertragung über das Netzwerk und
• at runtime – während der Datenverarbeitung im Hauptspeicher.
Development Methodology
Teams
Delivery Cycle
Application Architecture
Infrastructure
Enterprise-grade SLAs
Abbildung 2: Eigenschaften von Confidential Cloud-Native Applications
Die Applikation soll horizontal mit den Lastanforderungen skalieren und alle Aspekte von
Cloud-Native-Applikationen müssen unterstützt werden:
• Container-basiertes Deployment,
• Continuous Integration und Continuous Deployment,
• Microservice-basiert,
• freie Wahl der Programmiersprache per Microservice,
• Unterstützung von DevOps-Teams und
• Orchestrierung mittels Kubernetes.
Agile development, DevOps
Collaborative DevOps team
Short and continuous
Loosely coupled, service-based, API-based communication
Container-centric, portable, scales horizontally,
on-demand capacity
ensuring end-to-end performance, stability and availability
Die ersten beiden Punkte werden generell gut verstanden und implementiert. Der dritte
Aspekt birgt jedoch einige Herausforderungen – v. a. durch die verstärkte Nutzung von
Clouddiensten oder anderweitig durch mehrere Organisationen gemeinsam genutzte Infrastrukturen.
Die Daten, der Code und die Schlüssel dürfen also niemals im Klartext vorliegen
oder anderweitig zugänglich sein.
Personenbezogene Informationen werden in der heutigen Zeit als besonders schützenswerte
Daten klassifiziert. Vor diesem Hintergrund wurde in diesem PoC das Management von Dokumenten
inkl. deren Metadaten untersucht. Mögliche Anwendungsfälle finden sich u. a. im
Finanz-, Versicherungs- und Gesundheitssektor.
Als Applikation haben wir demnach eine sichere Dokumentenverwaltung gewählt. Mandanten
können ihre Dokumente verschlüsselt in die Cloud übertragen (bspw. TLS). Die Daten werden
verschlüsselt in einer Datenbank gespeichert und auch die Metadaten sind ununterbrochen
verschlüsselt.
encrypted with random,
always-encrypted key
Proxy
Secure
Doc
Service
CACHE
DB
Kubernetes,
Operating Systems,
Hypervisor
Administrator
(root)
adversary
(root)
files
Abbildung 3: SCONE stellt sicher das Daten, Code, und Schlüssel ununterbrochen verschlüsselt sind
6
7