Informatique confidentielle : Red Hat investit le projet CoCo

Ariane Beky,
Linkedin

Le projet Confidential Containers vise à sécuriser les données en cours d’utilisation au niveau conteneur. Red Hat fait partie des soutiens.

Hébergé sur GitHub, le projet nommé Confidential Containers (CoCo) est soutenu depuis mars 2022 par la Cloud Native Computing Foundation (CNCF) avec un niveau de maturité « sandbox » (non incubé donc). Red Hat a confirmé dans un récent billet de blog s’y investir.

L’ambition de la filiale open source d’IBM et d’autres membres* de la communauté formée autour du projet est de renforcer la protection des données utilisateurs en cours d’utilisation. Et ce, de la périphérie du réseau aux clouds, en passant par les environnements sur site.

Cette protection ne repose pas sur l’infrastructure ou la relation « de confiance » avec les fournisseurs cloud, mais sur le chiffrement au niveau matériel (CPU, mémoire physique…).

Standardiser l’informatique confidentielle

Il s’agit en outre de standardiser l’informatique confidentielle au niveau conteneur.

Les charges de travail (workloads) ou traitements qu’un serveur effectue à un temps T sont ainsi isolées des données sensibles avec des protections en mémoire matérielle. Pour ce faire, le projet CoCo s’appuie sur des technologies de sécurité hardware existantes, dont Intel SGX, Intel TDX, AMD SEV et IBM Z Secure Execution, associées à des frameworks logiciels.

Faciliter le fonctionnement de conteneurs dans des environnements d’exécution sécurisée (TEE ou Trusted Execution Environments), c’est le défi. La capacité étant proposée par la plupart des architectures processeurs depuis des années, comme a relevé The Register.

A terme, utiliser CoCo doit donc permettre aux organisations de réduire le risque qu’une entité non autorisée accède aux données en cours d’utilisation et exfiltre leurs secrets lorsque les workloads sont déployés sur une infrastructure appartenant à un tiers.

Pour Red Hat, cela signifie à terme intégrer l’approche dans OpenShift, sa plateforme d’orchestration de conteneurs basée sur Kubernetes.

On est encore loin d’un déploiement massif en production, cependant.

Confidential Containers vient de sortir dans sa première version, la 0.1.0.

*parmi lesquels Alibaba Cloud, AMD, ARM, IBM, Intel, Microsoft et Rivos.

(crédit photo © Shutterstock)