أحد المفاهيم المنتشرة حالياً والمتعلقة بأمن البيانات هو الـ Confidential Computing، وقد تكون سمعت عنه في Azure Confidential Computing أو حتى في تطبيق المراسلات الشهير Signal والمعروف بالأمان العالي!
هذا المفهوم نقدر نعتبره بأنه الحلقة المفقودة في أمن وخصوصية البيانات.
هذا المفهوم نقدر نعتبره بأنه الحلقة المفقودة في أمن وخصوصية البيانات.
حتى نستوعب أكثر مفهوم ال Confidential Computing والغرض منه، خلونا نلخص وبشكل بسيط الحالات اللي تمر بها البيانات والخطوات المتبعة في حفظ سرية هذه البيانات في كل حالة.
راح افترض سيناريو بسيط وهو تطبيق يجمع صور من جوال المستخدم ويعالجها (يضيف عليها فلاتر مختلفة لتحسين الصور). وأيضا يقوم التطبيق بحفظ الصور على الكلاود بعد معالجتها.
١- أول حالة واللي هي نقل البيانات من جوال المستخدم إلى الكلاود.
في هذه الأثناء، التطبيق راح يشفر الصور ويرسلها وهي مشفرة إلى الكلاود.
أي أنه لو حاول أحد الاطلاع على الصور أثناء النقل، راح يجدها مشفرة.
وبكذا قدرنا نحافظ على سرية الصور أثناء نقلها إلى الكلاود!
في هذه الأثناء، التطبيق راح يشفر الصور ويرسلها وهي مشفرة إلى الكلاود.
أي أنه لو حاول أحد الاطلاع على الصور أثناء النقل، راح يجدها مشفرة.
وبكذا قدرنا نحافظ على سرية الصور أثناء نقلها إلى الكلاود!
٢- الحالة الثانية واللي هي تخزين البيانات في الكلاود.
في هذه الحالة، السيرفر (الـ backend) راح يشفر الصور ويخزنها وهي مشفرة في الكلاود.
أي أنه إذا أحد اخترق السيرفر ووصل للصور، راح يجدها مشفرة.
وبكذا قدرنا نحافظ على سرية البيانات وهي مخزنة في الكلاود.
في هذه الحالة، السيرفر (الـ backend) راح يشفر الصور ويخزنها وهي مشفرة في الكلاود.
أي أنه إذا أحد اخترق السيرفر ووصل للصور، راح يجدها مشفرة.
وبكذا قدرنا نحافظ على سرية البيانات وهي مخزنة في الكلاود.
أما الحالة الثالثة واللي هي أثناء معالجة البيانات.
في هذه الحالة، راح نفك التشفير عن الصور (في الذاكرة RAM) ونعالجها.
أي أن الصور راح تكون متواجدة في الذاكرة وهي غير مشفرة، وبالتالي أي شخص سواء مُختَرِق، أو مسؤول النظام،
في هذه الحالة، راح نفك التشفير عن الصور (في الذاكرة RAM) ونعالجها.
أي أن الصور راح تكون متواجدة في الذاكرة وهي غير مشفرة، وبالتالي أي شخص سواء مُختَرِق، أو مسؤول النظام،
أو حتى النظام نفسه (بافتراض أن النظام نفسه يحاول يسرب الصور) يقدر يوصل للصور وهي في الذاكرة (RAM) ويقدر بكل بساطة أنه يسرب هذه الصور.
هذه الحالة، نقدر نحلها بالـ Confidential Computing!
هذه الحالة، نقدر نحلها بالـ Confidential Computing!
كيف؟
باختصار شديد هو أننا نقدر ننشئ مساحة أمنه لمعالجة البيانات داخل الذاكرة (Trusted Execution Environment).
هذه المساحة الأمنة مشفرة وما يقدر أي شخص يقرأ للبيانات المتواجدة بداخلها، كأنها صندوق أسود.
يطلق على هذه المساحة المشفرة والأمنة Enclave.
باختصار شديد هو أننا نقدر ننشئ مساحة أمنه لمعالجة البيانات داخل الذاكرة (Trusted Execution Environment).
هذه المساحة الأمنة مشفرة وما يقدر أي شخص يقرأ للبيانات المتواجدة بداخلها، كأنها صندوق أسود.
يطلق على هذه المساحة المشفرة والأمنة Enclave.
وسبق وتحدثت عن الـ Enclave وعن استخدامها في منتجات أبل
كيف ممكن نستفيد من ال Enclave في السيناريو السابق؟
بكل بساطة، السيرفر راح يستقبل صور المستخدم وهي مشفرة ويرسلها للـ Enclave. داخل ال Enclave، راح نفك التشفير عن الصور ونعالجها (نضيف عليها فلاتر) ونشفر الصور المُعَالَجة.
بكل بساطة، السيرفر راح يستقبل صور المستخدم وهي مشفرة ويرسلها للـ Enclave. داخل ال Enclave، راح نفك التشفير عن الصور ونعالجها (نضيف عليها فلاتر) ونشفر الصور المُعَالَجة.
بعد ما نشفر الصور المُعَالَجة، راح نخرجها من الـ Enclave ونرسلها للمستخدم أو نحفظها على الكلاود.
لاحظ في السيناريو السابق بان الصور دخلت الـ Enclave وهي مشفرة، وخرجت منه وهي مشفرة.
أي شيء يدور داخل الـ Enclave مبهم وماحد يقدر يوصل له أو يعرف عنه شي.
أي شيء يدور داخل الـ Enclave مبهم وماحد يقدر يوصل له أو يعرف عنه شي.
بالإضافة لمعالجة البيانات داخل الـ Enclave بطريقة أمنة، الكود الخاص بال Enclave مشفر ومبهم وماحد يقدر يعدل عليه أو يتلاعب به.
بعني تقدر تضمن أن كود البرنامج الخاص بك داخل الـ Enclave سليم وبعيد عن أيدي العابثين وماحد يقدر يعدل او يضيف عالكود.
بعني تقدر تضمن أن كود البرنامج الخاص بك داخل الـ Enclave سليم وبعيد عن أيدي العابثين وماحد يقدر يعدل او يضيف عالكود.
كيف أقدر استفيد من ال Confidential Computing وهل فيه خدمات حسابية تقدم هذه التقنية؟
نعم، كثير شركات بدأت بتبني هذا المبدأ مثل:
Azure Confidential Computing
IBM Cloud Data Shield
Alibaba Cloud
Google Confidential Computing
نعم، كثير شركات بدأت بتبني هذا المبدأ مثل:
Azure Confidential Computing
IBM Cloud Data Shield
Alibaba Cloud
Google Confidential Computing
جميع الخدمات السابقة تعتمد على معالجات Intel والداعمة للـ Software Guard Extention (SGX) واللي وظيفته هو انشاء بيئة المعالجة الأمنة.
اما بالنسبة لخدمة چوچل، فهي تعتمد على معالجات AMD وطريقة AMD مختلفة عن Intel لأنها تشفر الذاكرة بأكملها وبكل مافيها (Total Memory Encryption)
اما بالنسبة لخدمة چوچل، فهي تعتمد على معالجات AMD وطريقة AMD مختلفة عن Intel لأنها تشفر الذاكرة بأكملها وبكل مافيها (Total Memory Encryption)
هذا باختصار شديد جداً مبدأ الـ Confidential Computing.
الموضوع طويل جدًا وعميق ويحتاج إلى تدوينه مطولة.
إذا كان عندك اسئلة حول هذه التقنية أو حاب تتبناها في بناء أنظمة أمنة تواصل معي.
الموضوع طويل جدًا وعميق ويحتاج إلى تدوينه مطولة.
إذا كان عندك اسئلة حول هذه التقنية أو حاب تتبناها في بناء أنظمة أمنة تواصل معي.
سحابية*
للمهتمين، تم رفع تسجيل المؤتمر على قناة الجهة المنظمة (Edgeless) 👇🏼
جاري تحميل الاقتراحات...