Google publie en open source le framework Asylo pour offrir une meilleure isolation

Aux charges de travail cloud sensibles

La protection des données figure parmi les éléments les plus importants pris en considération lors de l’exécution de charges de travail dans le cloud. Alors que les infrastructures de cloud offrent de nombreux contrôles de sécurité, certaines entreprises souhaitent une isolation vérifiable supplémentaire pour leurs charges de travail les plus sensibles (parfois appelé « confidential computing »)..

Face à ce constat, Google a proposé un meilleur moyen pour les entreprises de sécuriser leurs applications cloud et les données correspondantes dans cette configuration de « confidential computing ». Pour ce faire, la filiale d’Alphabet propose Asylo (venant du mot Grec qui signifie « lieu sûr »), un framework open source conçu pour offrir une meilleure isolation pour les charges de travail cloud sensibles.

Google a expliqué qu’Asylo comprend également un SDK et vise à développer des applications qui s’exécutent dans des environnements d’exécution approuvés (TEE - trusted execution environments).

Les TEE, comme le rappelle Google, aident à lutter contre les attaques ciblant les couches sous-jacentes de la pile, y compris le système d’exploitation, l’hyperviseur, les pilotes et les micrologiciels, en fournissant des environnements d’exécution spécialisés appelés « enclaves » Les TEE peuvent également aider à réduire le risque d’être compromis par un initié malveillant ou un tiers non autorisé. Asylo inclut des fonctionnalités et des services pour chiffrer les communications sensibles et vérifier l’intégrité du code exécuté dans les enclaves, ce qui aide à protéger les données et les applications.

Auparavant, le développement et l’exécution d’applications dans un TEE nécessitaient des connaissances et des outils spécialisés. En outre, les implémentations ont été liées à des environnements matériels spécifiques. Asylo rend les TEE beaucoup plus accessibles à la communauté des développeurs, à travers une gamme de matériels - à la fois en local et dans le cloud.

Le framework Asylo permet aux développeurs de créer facilement des applications et de les rendre portables, afin de pouvoir les déployer sur différents backends logiciels et matériels. Avec Asylo, Google fournit une image Docker via Google Container Registry qui inclut toutes les dépendances dont vous avez besoin pour exécuter votre conteneur n’importe où. Cette flexibilité vous permet de profiter de diverses architectures matérielles avec le support TEE sans modifier votre code source.

En somme, voici les avantages offerts par Asylo par rapport aux approches alternatives du confidential computing :

  • facilité d’utilisation : avec Asylo, il est facile de créer des applications qui tirent parti des propriétés de sécurité des TEE. Vous n’aurez pas besoin d’apprendre un tout nouveau modèle de programmation ou de réécrire votre application ;
  • portabilité et flexibilité de déploiement : les applications Asylo n’ont pas besoin d’être conscientes des subtilités des implémentations TEE spécifiques ; vous pouvez porter vos applications sur différents backend d’enclaves sans aucun changement de code. Vos applications peuvent s’exécuter sur votre ordinateur portable, un poste de travail sous votre bureau, une machine virtuelle sur un serveur local ou une instance dans le cloud. Google explore la possibilité de déployer de futurs backends basés sur la technologie AMD Secure Encryption Virtualization (SEV), Intel® Software Guard Extensions (Intel® SGX) et d’autres technologies matérielles qui pourraient prendre en charge la même portabilité de reconstruction et d’exécution ;
  • open source : en tant que framework open-source, tout le monde peut profiter de la technologie de confidential computing.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 34 |

Actu en image