پردازش محرمانه یا Confidential Computing مفهومی است که در آن، داده رمزگذاری گردیده می‌توان درون حافظه پردازش شود تا با محدود کردن دسترسی، از امنیت داده اطمینان حاصل شود. این مفهوم توسط کنسرسیوم پردازش محرمانه ابداع و پرومد گردیده که گروهی شامل سازمان‌هایی است که می‌خواهند ابزارهایی برای پشتیبانی از محافظت داده بسازند. این مفهوم به صورت ویژه برای فضاهای ابری عمومی مناسب تلقی می‌شوند.

پردازش محرمانه ضمنا روی امنیت مبتنی بر نرم‌افزار و سخت‌افزار متمرکز هست. به این ترتیب، از امنیت و رمزنگاری داده در مطابق تهدیداتی مثل اینسایدرهای بدخواه، آسیب‌پذیری‌های شبکه یا هر تهدید دیگری برای سخت‌افزار یا تکنولوژی‌های نرم‌افزاری که می‌تواند به سوء استفاده از آن‌ها منجر شود اطمینان حاصل می‌گردد.درحالی که سرویس‌های ابری هر روز بیشتر از دیروز مورد استفاده قرار می‌گیرند، ایده پشت پردازش محرمانه اهمیت فراوانی یافته هست. سازمان‌هایی که از زیست‌بوم پردازش ابری بهره می‌گیرند، می‌توانند از مزیت‌های بیشتر حس امنیتی که با پردازش محرمانه به دست می‌آیند استفاده کنند.

سازمان‌های حاضر در کنسرسیوم پردازش محرمانه در پی ساخت ابزارهای کراس‌پلتفرم برای پردازش محرمانه هستند و ضمنا می‌خواهند اجرای کارهای پردازشی را در آن‌چه «درون‌بوم» نامیده می‌شود -و اساسا محیطی قابل اعتماد برای اجرای عملیات‌های کامپیوتری است- و همینطور درون سیستم عامل‌ها و اپلیکیشن‌ها راحت‌تر کنند.این کنسرسیوم توسط شرکت‌های تولیدکننده سخت‌افزار، عرضه‌دهندگان سرویس‌های ابری و توسعه‌دهندگانی نظیر گوگل، مایکروسافت، آی‌بی‌ام، اینتل، علی‌بابا، آرم و رد هت تشکیل گردیده هست. این گروه می‌خواهد ابزارها و بسترهایش برای پردازش ابری را به صورت کاملا متن‌باز عرضه کند و از سوی دیگر به حمایت از پروژه‌هایی می‌پردازد که قادر به حفاظت از اپلیکیشن‌ها، برنامه‌ها و ماشین‌های مجازی هستند. این گروه به سایر سازمان‌ها نیز در اعمال تغییرات امنیتی محرمانه نیز یاری می‌رساند.خروجی کنسرسیوم پردازش محرمانه تاکنون «بستر کنسرسیوم محرمانه بوده» که بستری عمومی برای پیشرفت امنیت و اپلیکیشن‌های گردیدیدا در دسترس به اکانت می‌آید.

پردازش محرمانه چگونه کار می‌کند؟

به صورت معمول، عرضه دهندگان سرویس‌های ابری، داده را هنگام ذخیره‌سازی یا انتقال رمزگذاری می‌کنند، اما داده به هنگام استفاده دیگر رمزگذاری نشده هست. کنسرسیوم پردازش محرمانه روی امن‌سازی داده به هنگام استفاده متمرکز است – مخصوصا زمانی که داده درون حافظه پردازش می‌شود. هدف اینست که درحالی که داده رمزگذاری گردیده باقی مانده، بتوان امکان پردازش آن را درون حافظه مهیا کرد. به این ترتیب، داده‌های حساس به احتمال کمتری مقابل چشم افراد اشتباه قرار می‌گیرند. تنها زمانی که داده رمزنگاری نشده باقی می‌ماند، زمانی است که یک کد روی سیستم، به کاربر امکان دسترسی به داده را می‌دهد. این یعنی که داده از چشم محیا‌کننده سرویس‌های ابری نیز پنهان می‌ماند.

موارد استفاده

پردازش محرمانه می‌تواند کاربردهای زیادی داشته باشد که همگی به حفاظت از داده در محیطی قابل اعتماد مربوط می‌شوند. برای مثال می‌توان از پردازش محرمانه در موارد زیر استفاده کرد:

  • حفاظت از داده در مطابق مهاجمین بدخواه
  • حصول اطمینان از سازگاری امنیت داده با قوانین مثل قانون GDPR
  • حصول اطمینان از امنیت داده‌های مالی، کلیدهای رمزنگاری و هر داده دیگری که باید تحت هر شرایطی امن باقی بماند
  • حصول اطمینان از امنیت داده هنگام انتقال عملیات‌ها به محیطی متفاوت
  • فراهم آوردن امکان ساخت اپلیکیشن‌هایی که می‌توانند به پلتفرم‌های ابری مختلف انتقال داده شوند

اجزای پردازش محرمانه

از پردازش محرمانه می‌توان در انبوهی از ابزارها و سرویس‌های گوناگون استفاده کرد.سازمان‌های حاضر در کنسرسیوم پردازش محرمانه همین حالا ابزارهای متنوعی برای اجرای عملیات‌ها در محیط‌های قابل اعتماد پیشرفت داده‌اند. برای مثال مایکروسافت Open Enclave SDK را ساخت که بستری برای تولید درون‌بوم برای اپلیکیشن‌ها به اکانت می‌آید. درون‌بوم‌های تعبیه گردیده در سرویس ابری Azure مایکروسافت با سیستم امنیتی مبتنی بر مجازی‌سازی Windows Server Hyper-V پشتیبانی می‌شوند. SQL Server 2019 هم از پردازش محرمانه پشتیبانی می‌کند و همراه با توانایی Always Encrypted به بازار خواهد آمد که درون‌بوم‌هایی امن دارد.

شرکت‌های فعال

از جمله شرکت‌هایی که در کنسرسیوم پردازش محرمانه حضور دارند می‌توان به گوگل، مایکروسافت، آی‌بی‌ام، اینتل، علی‌بابا، آرم، رد هت، بایدو، تنسنت و Swisscom اشاره کرد. هرکدام از این شرکت‌ها ابزارهای خودشان را برای پردازش محرمانه پیشرفت داده‌اند، باری مثال مایکروسافت Open Enclave و Azure را دارد و گوگل به پیشرفت Asylo پرداخته هست. مایکروسافت در این بین به صورت ویژه از یک مدل امنیتی تازه برای آژور بهره گرفته که داده را هنگام انتقال، هنگام سکون و همینطور هنگام استفاده رمزنگاری می‌کند.Google Asylo هم یک اپلیکیشن دیگر برای پردازش محرمانه هست. Asylo از بستر و کیت پیشرفت نرم‌افزاری متن‌باز برخوردار گردیده که امکان استفاده از درون‌بوم‌های امن را برای پردازش داده فراهم می‌آورد. در این بین رد هت به ساخت بستر Enarx پرداخته که ورژنی دیگر از Open Enclave برای لینوکس و محیط‌های ابری عمومی هست.

و در نهایت آرم مشغول پیشرفت ابزاری به نام Arm TrustZone است که آن هم از پردازش محرمانه پشتیبانی خواهد کرد.