Le cloud est devenu particulièrement populaire, que ce soit pour utiliser des services clés en main, au travers du SaaS (Software as a Service), ou déployer ses propres applications et infrastructures IT, au travers du PaaS (Platform as a Service) et de l’IaaS (Infrastructure as a Service).

Déployer des serveurs sur le cloud n’est toutefois pas sans conséquences sur la sécurité de votre système d’information et la confidentialité des données qu’il héberge. Même si vous optez pour le chiffrement des données et des flux réseau, l’opérateur cloud sera en effet toujours en mesure d’accéder à vos informations.

Les technologies Intel TDX et AMD SEV

Lorsqu’une entreprise déploie un serveur sur le cloud, elle le fait en général au travers d’une machine virtuelle. Une approche qui permet aux opérateurs de réaliser d’importantes économies d’échelle (en divisant chaque machine physique en plusieurs machines virtuelles), mais aussi de faciliter une tarification à l’usage des ressources utilisées.

Les deux principaux fournisseurs de processeurs proposent des technologies permettant de chiffrer à la volée la mémoire des machines virtuelles : Secure Encrypted Virtualization chez AMD (AMD SEV) et Trust Domain Extension chez Intel (Intel TDX). N’importe quelle machine virtuelle peut être convertie en machine virtuelle confidentielle, au sein de laquelle la mémoire est entièrement chiffrée par le processeur. Le tout avec un mécanisme d’attestation permettant de garantir l’intégrité du système.

Grâce aux machines virtuelles confidentielles, il est possible d’avoir la même sécurité dans le cloud que celle que vous auriez sur des infrastructures privées. Google, Microsoft et Amazon proposent aujourd’hui des VM confidentielles. Pour les mettre en œuvre, vous aurez besoin d’une solution de vérifiabilité de vos machines virtuelles et d’un outil de gestion de clés de chiffrement (KMS, pour Key Management System). Deux éléments accessibles respectivement au travers des offres Cosmian vm et Cosmian kms.

Pour aller plus loin : les enclaves Intel SGX

Les machines virtuelles confidentielles vous protègent de l’hyperscaler, mais pas des administrateurs système pouvant s’y connecter. Si vous souhaitez protéger une application et ses données, il faudra opter pour une autre technologie : les enclaves. À ce jour, seul Intel propose le support des enclaves, au travers des Software Guard Extensions (Intel SGX).

Grâce à cette technologie, personne, pas même un administrateur système, ne pourra accéder aux traitements effectués par les applications et leurs données. Les enclaves sont des boîtes noires impénétrables qui trouvent un nouvel essor avec l’émergence de l’intelligence artificielle.

Moteur et modèle d’IA pourront ainsi être déployés sur les serveurs de vos clients, sans que ces derniers ne puissent vous subtiliser votre propriété intellectuelle.

Notez toutefois que les enclaves ne peuvent fonctionner que dans une machine virtuelle. Il faudra donc opter pour des serveurs physiques, ou des instances cloud dites “bare metal”. Microsoft, OVH, Alibaba sont quelques-uns des acteurs pouvant vous proposer des serveurs compatibles Intel SGX. Complexe, la mise en œuvre de cette technologie au sein de vos applications sera facilitée par l’emploi d’un “Library OS”, tel celui proposé au sein de l’offre Cosmian enclave.

Protégez vos données dans le cloud public avec Cosmian. Contactez-nous.