Master
Técnicas

Enclaves seguros

NOT ON THE CURRENT EDITION
This blip is not on the current edition of the Radar. If it was on one of the last few editions it is likely that it is still relevant. If the blip is older it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the RadarUnderstand more
Published: Oct 28, 2020
Oct 2020
Avalie?

Enclaves seguros , também identificados como ambientes de execução confiáveis (TEE), referem-se a uma técnica que isola um ambiente — processador, memória e armazenamento — com um nível mais alto de segurança, fornecendo somente uma troca limitada de informações com seu contexto de execução circundante não-confiável. Por exemplo, um enclave seguro nos níveis de hardware e sistema operacional pode criar e armazenar chaves privadas e executar operações com elas, como criptografar dados ou verificar assinaturas, sem que as chaves privadas saiam do enclave seguro ou sejam carregadas na memória da aplicação não-confiável. O enclave seguro fornece um conjunto limitado de instruções para executar operações confiáveis, isoladas de um contexto de aplicação não-confiável.

A técnica é há bastante tempo suportada por muitas fornecedoras de hardware e sistemas operacionais (incluindo a Apple), e as pessoas desenvolvedoras vêm a usando em aplicações de IoT e edge. Porém, apenas recentemente ela ganhou atenção em aplicações corporativas e baseadas em nuvem. As provedoras de nuvem começaram a introduzir recursos de computação confidencial, como enclaves seguros baseados em hardware: a infraestrutura de computação confidencial da Azure promete VMs habilitadas para TEE e acesso por meio da biblioteca de código aberto Open Enclave SDK para realizar operações confiáveis. Da mesma forma, o VMs confidenciais e Compute Engine, do GCP, ainda em beta, possibilita o uso de VMs com criptografia de dados na memória, e o AWS Nitro Enclaves está seguindo os mesmos passos com seu próximo lançamento de visualização. Com a introdução de enclaves seguros baseados em nuvem e computação confidencial, podemos adicionar um terceiro pilar à proteção de dados: em repouso, em trânsito e, agora, na memória.

Embora ainda estejamos no início da jornada de enclaves seguros para empresas, encorajamos você a considerar essa técnica e se manter em dia com as informações sobre vulnerabilidades conhecidas que podem comprometer os enclaves seguros das fornecedoras de hardware subjacentes.