agsandrew - stock.adobe.com

Création d’un consortium pour populariser le recours aux enclaves sécurisées

La fondation Linux abrite désormais un consortium ouvert visant à accélérer l’adoption des environnements d’exécution dits de confiance. Mais certains acteurs brillent par leur absence.

« L’informatique confidentielle est restée assez longtemps… confidentielle », relève, non sans une pointe de dérision, Avishai Ziv, vice-président de Fortanix, dans un billet de blog. Il vient là saluer l’annonce du consortium pour l’informatique confidentielle, le Confidential Computing Consortium, au sein de la fondation Linux. Parce que justement, c’est tout là le cœur de métier de Fortanix.

Pour mémoire, cette jeune pousse se concentre depuis trois ans sur le développement pour enclaves sécurisées. Celles-ci sont apparues dans les processeurs Intel avec la famille Skylake, lancée à l’été 2015, et les extensions SGX. Avec ces dernières, il s’agit de renforcer la sécurité des environnements virtualisés en assurant, au niveau du processeur, une isolation robuste des machines virtuelles, au-delà de ce que peut permettre un hyperviseur. Car SGX permet de construire, par le matériel, des zones de mémoire chiffrées qui sont isolées du système d’exploitation sur lequel s’exécute l’hyperviseur.

Ce positionnement est hautement stratégique. Microsoft met à profit ce concept pour proposer des enclaves sécurisées dédiées au traitement de données hautement sensibles dans Azure, avec Confidential Computing. Fujitsu présentait déjà, début 2016, sa Sealed Applications Solutions (SAS) où l’application s’exécute dans un conteneur sécurisé dédié, mais sans en avoir conscience, car elle utilise le système d’exploitation pour accéder aux données.

IBM a récemment retenu la technologie de Fortanix pour ouvrir, en bêta, Cloud Data Shield. Equinix a, quant à lui, misé sur celle-ci pour proposer un module de sécurité matériel (HSM) en mode service.

Surtout, Fortanix a profité de RSA Conference, en début d’année, pour rendre disponible en open source EDP, sa propre plateforme de développement pour enclaves sécurisées. Celle-là même qu’il utilise en interne pour ses propres produits misant sur le chiffrement à l’exécution, à commencer par son service de HSM. Ainsi, la jeune pousse voulait déjà aider à la démocratisation de la mise à profit enclaves sécurisées.

Mais si Avishai Ziv salue la création du consortium, Fortanix n’y est pour autant pas associé. Les membres fondateurs sont ainsi Alibaba, ARM, Baidu, Google, IBM, Intel, Microsoft, Red Hat, Swisscom et Tencent. Pour l’heure, les contributions portent surtout sur des kits de développement, notamment pour Intel et Microsoft. Red Hat prévoit quant à lui d’apporter son projet Enarx dévoilé au printemps.

Outre l’absence de Fortanix, celle d’AWS pourra être remarquée, mais sans pour autant véritablement surprendre. Car si les instances C5 d’EC2 sont équipées de processeurs supportant SGX, le support de ces extensions n’est pas activé au niveau du Bios des systèmes correspondants. Il en va d’ailleurs de même pour les instances N1 de Google Cloud. Mais son association au lancement du Confidential Cloud Consortium indique peut-être une évolution prochaine.

Pour approfondir sur Sécurité du Cloud, SASE