Vertrauliche Daten in der Cloud: Google gibt das Framework Asylo frei
Das neue Open-Source-Framework gibt Entwicklern ein SDK und geeignete Tools an die Hand, um Applikationen für den Einsatz in sogenannten Trusted Execution Environments (TEEs) zu bauen.
- Matthias Parbel
Verschlüsselung, die Verifizierung der Integrität von Programmcode und die Absicherung gegen nicht autorisierten Zugriff sind einige der erweiterten Schutzmaßnahmen, die eine vertrauensvolle Datenverarbeitung in der Cloud gewährleisten können. Um Entwickler beim Bau von Anwendungen für das sogenannte Confidential Computing zu unterstützen, hat Google nun das Open-Source-Framework Asylo freigegeben. Mit Hilfe des SDKs können Entwickler Anwendungen für den Einsatz in Trusted Execution Environments (TEEs) erstellen, die erweiterten Schutz vor Angriffen über die darunter liegende Infrastruktur bieten – einschließlich Betriebssystem, Hypervisor, Treibern und Firmware.
(Bild: Google)
Sicherer Betrieb in der Enklave
Für den Betrieb einer Anwendung in einer solchen, auch Enklave genannten, geschützten Umgebung waren bisher in der Regel umfassende Anpassungen am Code notwendig, und die Programmausführung häufig auch an bestimmte Hardware-Plattformen gebunden. Erweiterungen wie AMDs Secure Encryption Virtualization (SEV) oder Intels Software Guard Extensions (Intel SGX) erlauben dabei die Abstimmung auf die jeweiligen Prozessorfamilien.
Asylo unterstützt die Erweiterungen der CPU-Anbieter im jetzt vorliegenden ersten Release noch nicht, Google erwägt deren Einsatz aber für künftige Versionen des Frameworks. Entwickler sollen dennoch ihre mit Hilfe von Asylo gebauten Anwendungen schon heute ohne Änderungen des Programmcodes gleichermaßen in TEEs auf Notebooks, Workstations sowie lokalen und Cloud-VMs einsetzen können. Asylo steht dazu in der Google Container Registry als Docker-Image inklusive aller erforderlichen Dependencies zur Verfügung.
In künftigen Versionen des Frameworks sollen dann sogar bestehende Applikationen für den Einsatz in TEEs aufbereitet werden können. Entwickler müssten dann nur noch den Programmcode in den Container laden, das gewünschte Backend spezifizieren und einen Rebuild durchführen.
Für den Einstieg in die Arbeit mit der ab sofort verfügbaren Version Asylo 0.2 hält Google neben der vollständigen Dokumentation einen Quick-Start Guide parat. Weitergehende Informationen zum Projekt finden sich außerdem auf GitHub. (map)
