VMware присоединилась к AMD, Samsung и членам сообщества RISC-V для работы над открытой и кросс-платформенной платформой для разработки и эксплуатации приложений с использованием конфиденциального вычислительного оборудования.
Рассказывая об усилиях на саммите Confidential Computing Summit 2023 в Сан-Франциско, компании заявляют, что стремятся обеспечить переход отрасли к практическим конфиденциальным вычислениям, разработав проект Certifier Framework с открытым исходным кодом для конфиденциальных вычислений.
Среди других целей проект направлен на стандартизацию набора независимых от платформы API-интерфейсов разработчиков, которые можно использовать для разработки или адаптации кода приложения для работы в конфиденциальной вычислительной среде, при этом служба сертификации контролирует их работу.
VMware утверждает, что исследовала, разработала и открыла исходный код Certifier Framework, но с участием AMD и Самсунга (который разрабатывает собственные чипы для смартфонов) группа охватывает x86 и Arm. Также на борту находится проект Keystone, в рамках которого разрабатывается инфраструктура анклава для поддержки конфиденциальных вычислений на процессорах RISC-V.
Конфиденциальные вычисления предназначены для защиты приложений и их данных от кражи или подделки путем их защиты в безопасном анклаве или доверенной среде выполнения (TEE). При этом используются аппаратные механизмы безопасности для предотвращения доступа ко всему, что находится за пределами анклава, включая операционную систему хоста и любой другой код приложения.
По мнению VMware, такие средства защиты, вероятно, будут иметь все большее значение в контексте приложений, работающих в мультиоблачных средах.
Еще один сценарий конфиденциальных вычислений, предложенный Майкрософтом, который считает, что конфиденциальные вычисления станут нормой, – это многосторонние вычисления и аналитика. При этом каждый из нескольких пользователей вносит свои личные данные в анклав, где их можно безопасно проанализировать, чтобы получить результаты, намного более богатые, чем каждый из них мог бы получить только из своего собственного набора данных.
Это описывается как новый класс рабочих нагрузок машинного обучения и «экономии данных», основанных на конфиденциальных данных и моделях, собранных из нескольких источников, которые будут доступны благодаря конфиденциальным вычислениям.
Однако VMware отмечает, что, как и многие другие полезные аппаратные функции, она не получит широкого распространения до тех пор, пока разработка приложений в новой парадигме не станет проще.
Гигант облачных вычислений и виртуализации утверждает, что это и есть цель Certifier Framework, которая обеспечивает независимую от платформы поддержку для определения и применения политик доверия для защиты рабочих нагрузок в локальной и сторонней инфраструктуре, включая многооблачные среды, в то время как компании будут совместно работать над набором API-интерфейсов для разработчиков в экосистемах x86, Arm и RISC-V.
Согласно VMware, Certifier Framework состоит из двух частей: одна представляет собой библиотеку разработки приложений (API), которая позволяет разработчику либо портировать существующее «хорошо написанное» приложение, либо разрабатывать новое с минимальными усилиями.
Говорят, что API поддерживает несколько платформ конфиденциальных вычислений, поэтому нет необходимости переписывать приложение, использующее Framework, при переходе на другую платформу, а для переноса приложения в конфиденциальную вычислительную среду может потребоваться всего «полдюжины или около того» вызовов API.
Второй частью структуры является Certifier Service, состоящий из ряда серверных приложений, которые оценивают политику и управляют доверительными отношениями в домене безопасности. Целью этой службы сертификации является предоставление масштабируемых средств для развертывания многих конфиденциальных вычислительных приложений и обеспечения соблюдения политики безопасности.
Группа продемонстрировала технологию на саммите Confidential Computing Summit, включая демонстрации «универсального» управления доверием клиент-облако на нескольких аппаратных платформах.
Примечательно, что Intel отсутствует в группе Certifier Framework, несмотря на то, что является ведущим членом Консорциума конфиденциальных вычислений и спонсором самого Саммита конфиденциальных вычислений.
Однако Рагху Намбиар из AMD, вице-президент по экосистемам и решениям для центров обработки данных, сказал, что работа с такими игроками отрасли, как VMware, имеет решающее значение для ускорения внедрения конфиденциальных вычислений.
«Независимо от размера или технической сложности организации или места развертывания рабочей нагрузки Certifier Framework поможет большему количеству клиентов реализовать преимущества конфиденциальных вычислений», сказал он.
Йонг Хо Хван, вице-президент Samsung Electronics и глава отдела безопасности и конфиденциальности, также поддержал его, добавив: «Мы рады быть сторонниками Certifier Framework и разделяем общую цель ускорения внедрения конфиденциальных вычислений с помощью удобного для разработчиков API для управления доверием конфиденциальных вычислений».