La computación confidencial para el continuo Cloud-Edge: desbloqueando el futuro de la seguridad de datos

El creciente solapamiento entre la computación en la nube (cloud) y la computación en el borde (edge) está creando un continuo de computación (continuum computing) que integra de manera fluida diversas capacidades, recursos y servicios cloud, como centros de datos, cloud privado, cloud pública, cloud híbrida, entornos multicloud y el edge 5G. Esta configuración permite satisfacer las necesidades de rendimiento, seguridad y coste de las cargas de trabajo de las aplicaciones actuales.

Las organizaciones pueden optar por una plataforma de computación exclusivamente edge o por una configuración multicloud en la que tanto la computación edge como cloud trabajen en conjunto para lograr la movilidad y el equilibrio de las cargas de trabajo. El continuum computing se considera un cambio disruptivo en el mundo de la computación cloud y la infraestructura de datos, y una tecnología clave para la transformación digital.

El continuum computing  y el desafío de la seguridad de los datos

Aunque la mayoría de las organizaciones están acelerando sus estrategias de cloud, edge y multicloud, la seguridad de los datos sigue siendo el mayor obstáculo, como demuestran diversas encuestas y estudios. Muchos usuarios que manejan datos confidenciales dudan en adoptar completamente los servicios de cloud pública por preocupaciones sobre la confidencialidad. Aunque la seguridad de los datos almacenados o en tránsito está bien cubierta, los datos en el cloud continúan siendo vulnerables cuando están en uso. Los métodos tradicionales para proteger los datos en uso no ofrecen una protección robusta.

Estos métodos suelen depender de estrictos controles de acceso, que pueden ser susceptibles a errores humanos o a configuraciones incorrectas de las políticas. Incluso con tecnologías avanzadas de acceso, persiste el riesgo de fuga de credenciales, lo que permite que actores no autorizados accedan a información sensible. Estos problemas se agravan aún más a medida que la computación se extiende desde el edge hasta el cloud(edge-to-cloud).

Los métodos tradicionales de encriptación se centran en proteger los datos cuando están almacenados o en tránsito. Sin embargo, el gran desafío en términos de seguridad surge cuando los datos deben ser procesados. Las empresas necesitan una solución que proteja los datos sensibles no solo durante el almacenamiento o la comunicación. Aquí es donde entra en juego la computación confidencial, que protege los datos mientras se procesan, ejecutándose en un entorno de ejecución confiable (TEE, por sus siglas en inglés: Trusted Execution Environment) basado en hardware, como AMD SEV-SNP o Intel TDX. Los TEE son entornos seguros y aislados que impiden accesos no autorizados o modificaciones tanto a las aplicaciones como a los datos durante su ejecución. Cuando el código se ejecuta dentro de un TEE, permanece completamente invisible y fuera del alcance de cualquier persona sin autorización; ni siquiera el sistema operativo puede acceder a él.

Las máquinas virtuales confidenciales (CVM) son máquinas virtuales que se ejecutan dentro de un entorno de ejecución confiable (TEE) basado en hardware, el cual protege todo lo que contiene la imagen de la máquina virtual —tanto el código como los datos— frente al hipervisor y el sistema operativo anfitrión. Las CVM permiten a los usuarios mantener el control de sus datos en cloud pública, proporcionando aislamiento criptográfico en entornos multiusuario y añadiendo una capa adicional de protección en cloud frente a operadores, administradores e intrusos.

Asegurando las finanzas y la administración electrónica mediante computación confidencial en arquitecturas cloud-edge 

En OpenNebula Systems estamos trabajando en la implementación de un cloud-edge confidencial para los sectores de finanzas y administración pública. Open Finance no solo impulsa la innovación, la competencia y la eficiencia en el sector financiero, sino que también refuerza la cooperación entre empresas y organismos públicos en áreas críticas como la prevención del fraude y la lucha contra el blanqueo de capitales.

La computación confidencial facilita el intercambio seguro de datos y la colaboración, mejorando la detección del fraude y la gestión del riesgo, mientras se mantiene la confidencialidad e integridad de los datos sensibles. Además, aporta rentabilidad a este sector económico clave, al permitir arquitecturas cloud-edge seguras que permiten a las instituciones beneficiarse de la escalabilidad y flexibilidad de un cloud híbrido, sin sacrificar la soberanía y seguridad de los datos. Al abordar el desafío del fraude financiero, la computación confidencial se posiciona como una herramienta esencial, permitiendo el procesamiento seguro y conforme a la normativa de datos financieros sensibles procedentes de diversas fuentes.

La administración electrónica (eGovernment) es un paso fundamental para que más administraciones entren en la era digital y mejoren los servicios públicos a los ciudadanos. Actualmente, integrar servicios cloud externos (como los hiperescalares) sigue siendo arriesgado por muchas instituciones públicas. No se trata sólo de asegurar el almacenamiento y la transmisión de datos, sino también de garantizar que los datos confidenciales permanezcan completamente protegidos cuando son procesados en otro entorno. Esta preocupación está ralentizando la adopción del cloud en el sector público.

La computación confidencial ayuda a resolver muchos de los desafíos que enfrenta la administración electrónica al adoptar soluciones cloud públicas y edge, como: (i) la privacidad y seguridad efectiva de los datos, (ii) la computación multipartita segura, (iii) el cumplimiento de la normativa sobre la localización de los datos y (iv) la seguridad verificable para generar confianza. Al abordar estas cuestiones, la computación confidencial no solo protege las cargas de trabajo y los datos sensibles —lo que la convierte en una herramienta esencial frente a las crecientes amenazas digitales—, sino que también proporciona a los proveedores de servicios cloud una poderosa herramienta para mejorar sus ofertas al sector público.

Desafíos de la computación confidencial distribuida en el cloud-edge

La computación confidencial está ganando cada vez más impulso. Algunos estudios de mercado predicen que el mercado mundial de infraestructuras de computación confidencial podría crecer a un ritmo del 90-95%, alcanzando los 53.210 millones de dólares en 2029. En los próximos 10 años, todos los clouds serán confidenciales, construidos sobre plataformas y tecnologías de computación confidencial. El actual modelo de responsabilidad compartida cambiará significativamente: los clientes finales y las organizaciones tendrán pleno control y seguridad sobre sus datos e IP, incluso frente a los propios proveedores de servicios o infraestructuras.

El próximo gran reto es hacer posible la computación confidencial de extremo a extremo a través de un continuum de computación altamente distribuido, garantizando la total seguridad de los datos, ya sea en reposo, en tránsito o en uso. El objetivo es proporcionar confidencialidad a todo el ciclo de vida de los datos, asegurando su protección durante el almacenamiento, la transmisión y el procesamiento. La computación confidencial de extremo a extremo permitirá la integración segura de recursos no fiables, ya sean de proveedores de cloud pública o de ubicaciones edge locales, y apoyará la interoperabilidad segura entre sistemas cloud. Además, fomentará el desarrollo de nuevas herramientas basadas en IA para la inteligencia en ciberamenazas.

El futuro de la computación confidencial distribuida en el cloud-edge

Las implementaciones actuales de virtualización confidencial no aportan funcionalidad completa, especialmente cuando se aplican a entornos distribuidos geográficamente que involucran diferentes proveedores, dispositivos con recursos limitados, plataformas diversas, infraestructuras dinámicas y comunicación a través de redes públicas. Con el apoyo del proyecto IPCEI-CIS de 2.600 millones de euros de la UE, la mayor iniciativa de innovación en el mercado cloud-edge, en la que participan actores europeos clave como SAP, Telefónica, Orange, Atos, Siemens y Deutsche Telekom, OpenNebula está mejorando sus capacidades en automatización, inteligencia artificial, computación confidencial y multi-cloud. Esto permitirá una computación confidencial de extremo a extremo a través de un computing continuum altamente distribuido, garantizando la seguridad de los datos en reposo, en tránsito y en uso. El objetivo es asegurar la confidencialidad en todo el ciclo de vida de los datos, protegiéndolos durante el almacenamiento, la transmisión y el procesamiento.

El computing continuum está destinado a convertirse en la plataforma principal para responder a la creciente demanda de almacenamiento y procesamiento de datos. Sin embargo, el almacenamiento y procesamiento de datos en la cloud pública y en el edge puede dar lugar a una recuperación de datos más lenta y a mayores riesgos de seguridad. Estos retos subrayan la necesidad de soluciones inteligentes que aborden el problema de la ubicación de los datos, garantizando un alto rendimiento sin comprometer la privacidad y la integridad. La orquestación impulsada por IA de cargas de trabajo confidenciales, a través de un plano de control unificado, será esencial para gestionar de forma coherente los servicios de coordinación, certificación y confianza en múltiples clouds, entornos locales y edge.

Firmado: Ignacio M. Llorente, fundador y CEO de OpenNebula Systems