خبر, گوگل

محاسبات محرمانه گوگل: چگونه داده های شما در فضای ابری ایمن می مانند؟

انتشار در تاریخ توسط یاشار عبدالمالکی
محاسبات محرمانه گوگل: چگونه داده های شما در فضای ابری ایمن می مانند؟

تیم تحریریه استاد آی تی گزارش می‌دهد: در دنیای امروز که داده ها به عنوان ارزشمندترین دارایی سازمان ها شناخته می شوند، حفاظت از آنها در برابر تهدیدات سایبری و دسترسی های غیر مجاز، به یک ضرورت حیاتی تبدیل شده است. در حالی که رمزنگاری داده ها در حالت استراحت (روی دیسک) و در حال انتقال (در شبکه) به خوبی شناخته شده و پیاده سازی می شود، چالش اصلی همچنان حفاظت از داده در حال پردازش است. اینجاست که مفهوم محاسبات محرمانه (Confidential Computing) وارد عمل می شود.

گوگل کلود با معرفی راهکار جامع خود، شامل Confidential Space و ابزارهای متن باز Oak Functions و Oak Session، یک سرویس محرمانه End-to-End را ارائه داده است. این راهکار به کاربران اطمینان می دهد که داده های حساس آنها تنها توسط کدهای تایید شده و در یک محیط سخت افزاری ایزوله شده پردازش می شوند. این رویکرد، پارادایم “اعتماد نکن، تایید کن” (Don’t Trust, Verify) را به واقعیت تبدیل می کند.

چالش های اعتماد در عصر داده

اجرای یک سرویس محرمانه در یک محیط ابری مدرن و مقیاس پذیر، دو چالش اساسی را به همراه دارد که گوگل به آنها پرداخته است.

داده در حال پردازش: حلقه مفقوده امنیت

بسیاری از بینش های ارزشمند، مانند پردازش اطلاعات هویتی (PII) یا تحلیل داده های مالی حساس، نیازمند استفاده از داده های محرمانه هستند. در سیستم های سنتی، زمانی که داده ها برای پردازش از حالت رمزنگاری خارج می شوند، در حافظه سرور به صورت متن آشکار قرار می گیرند. این امر، داده ها را در برابر دسترسی های احتمالی از سوی سیستم عامل میزبان، سایر کاربران ابری، و حتی خود ارائه دهنده سرویس ابری آسیب پذیر می سازد. محاسبات محرمانه این مشکل را با فراهم کردن حفاظت در سطح سخت افزار حل می کند.

معماری مقیاس پذیر و ریسک افشای داده

در معماری های ابری مقیاس پذیر، معمولا چندین نمونه از یک سرویس در پشت یک متعادل کننده بار (Load Balancer) اجرا می شوند. برای سادگی، رمزنگاری TLS اغلب در همین متعادل کننده بار خاتمه می یابد. این بدان معناست که داده های حساس برای مسیریابی و بازرسی، به صورت متن آشکار در متعادل کننده بار قرار می گیرند. این عمل، وعده محرمانگی End-to-End را نقض می کند و دایره اعتماد (TCB) را به زیرساخت متعادل کننده بار گسترش می دهد.

راهکار گوگل: Confidential Space و Oak Functions

راهکار گوگل با تکیه بر یک پایه سخت افزاری قوی آغاز می شود: Google Cloud Confidential Space. این فضا یک محیط اجرای مورد اعتماد (TEE) است که بر روی سخت افزار محاسبات محرمانه پیشرفته ساخته شده است.

تضمین اجرای کد با TEE و گواهی (Attestation)

Confidential Space یک محفظه حافظه ایزوله شده سخت افزاری ایجاد می کند که در آن کد و داده ها از سیستم عامل میزبان، سایر مستاجران و حتی مالک پروژه ابری محافظت می شوند. ویژگی کلیدی این فضا، گواهی (Attestation) است: یک گزارش امضا شده از خود پلتفرم که اثبات قابل تایید و رمزنگاری شده ای از یکپارچگی محیط و هویت کانتینر در حال اجرا در داخل آن را فراهم می کند.

کارشناسان استاد آی تی معتقدند که این رویکرد، یک تغییر پارادایم اساسی در امنیت ابری است. به جای اینکه کاربر مجبور باشد به منطق اختصاصی و پیچیده برنامه اعتماد کند، اعتماد او به یک جعبه شنی (Sandbox) کوچک، متن باز و قابل حسابرسی منتقل می شود. این جعبه شنی، که Oak Functions نام دارد، از ثبت وقایع، ذخیره سازی داده در دیسک یا ایجاد اتصالات شبکه توسط منطق تجاری برنامه جلوگیری می کند.

رمزنگاری لایه کاربردی با Oak Session

برای حل مشکل متعادل کننده بار، گوگل از Oak Session استفاده می کند. این کتابخانه متن باز، یک پروتکل نشست رمزنگاری شده End-to-End را پیاده سازی می کند که در لایه کاربردی (Application-level) عمل می کند.

Oak Session یک کانال رمزنگاری شده تودرتو (Nested) را در داخل اتصال TLS استاندارد ایجاد می کند. حتی اگر متعادل کننده بار، اتصال TLS بیرونی را رمزگشایی کند، داده های داخلی همچنان محافظت شده باقی می مانند. این کتابخانه از چارچوب Noise به جای پشته کامل TLS استفاده می کند که به دلیل سادگی و حجم کد کمتر (حدود ۲.5K خط کد در مقابل ۱.2M خط کد BoringSSL)، قابلیت حسابرسی و تایید بیشتری دارد.

Session Binding: جلوگیری از حملات تکرار

مهم ترین بخش این فرآیند، Session Binding است. این مرحله کانال امن را به گواهی (Attestation JWT) متصل می کند. در طول دست دادن (Handshake)، محفظه ایزوله شده، یک توکن نشست منحصر به فرد را با یک کلید خصوصی امضا می کند که به صورت رمزنگاری شده به گواهی آن مرتبط است. با تایید این امضا، کاربر اطمینان می یابد که با همان موجودیتی در حال صحبت است که گواهی شده است. این مکانیسم به طور موثر از حملات تکرار (Replay Attacks) جلوگیری می کند.

آینده محاسبات محرمانه در فضای ابری

ترکیب Google Cloud Confidential Space، Oak Functions و Oak Session یک راهکار قوی، قابل تایید و مقیاس پذیر برای ساخت برنامه های محرمانه End-to-End فراهم می کند. این فناوری به ویژه برای صنایعی که با داده های بسیار حساس سروکار دارند، مانند خدمات مالی (پردازش تراکنش ها)، مراقبت های بهداشتی (تحلیل داده های بیمار) و هوش مصنوعی و یادگیری ماشین (حفاظت از مدل های اختصاصی و داده های استنتاج)، بسیار حیاتی است.

این پیشرفت، تضمین می کند که محرمانگی داده ها در کل چرخه حیات آنها، از سمت کاربر تا منطق برنامه در حال اجرا در فضای ابری، حفظ شود. این یک گام مهم رو به جلو در امنیت ابری است.

جمع بندی و خدمات استاد آی تی

تیم استاد آی تی آماده ارائه خدمات طراحی وب سایت اختصاصی و وردپرسی و همچنین ساخت اپلیکیشن، سئو حرفه ایی، تولید و توسعه نرم افزار crm و ساخت ابزارهای آنلاین و هوشمند، راه اندازی شبکه و تلفن Voip، گسترش برندینگ و بازاریابی دیجیتال است. ما با درک عمیق از آخرین تحولات فناوری مانند محاسبات محرمانه، به کسب و کار شما کمک می کنیم تا با بالاترین استانداردهای امنیتی و عملکردی در فضای دیجیتال بدرخشید.

منابع

Don’t Trust, Verify: Building End-to-End Confidential Applications on Google Cloud

این پست چقدر مفید بود؟

بر روی یک ستاره کلیک کنید تا به آن امتیاز دهید!

میانگین امتیاز ۰ / ۵. میانگین امتیاز: ۰

تاکنون هیچ رأیی ثبت نشده است! اولین نفری باشید که به این پست امتیاز می‌دهد.

یاشار عبدالمالکی

یاشار عبدالمالکی هستم، کاوشگر دنیای بی کران فناوری. با قلمم، تازه ترین اخبار و تحولات حوزه IT را برای شما به ارمغان می آورم. همراه من باشید در این سفر هیجان انگیز به آینده با خبرهای روز!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *