← Zurück zum Leitfaden

Strategie zur DORA-Erfüllung mit ARM CCA

Die ARM Confidential Compute Architecture (CCA) schützt "Data-in-Use" durch hardwarebasierte, isolierte Umgebungen, sogenannte "Realms", die ganze VMs schützen, ohne dass die Anwendungssoftware umgeschrieben werden muss.

Kernfunktionen

  • VM-Isolation (Realms)

    Ähnlich wie AMD SEV-SNP schützt ARM CCA ganze virtuelle Maschinen. Ein "Realm" ist eine spezielle VM, deren Code und Daten vor dem Hypervisor verborgen sind, was "Lift-and-Shift"-Migrationen ermöglicht.

  • Speicherverschlüsselung und -integrität

    Die Hardware verschlüsselt und schützt automatisch die Integrität des Speichers, der einem Realm zugewiesen ist, und schützt ihn so vor externem Zugriff.

  • Isolation vom Hypervisor

    Ein spezieller "Realm Management Monitor" (RMM) stellt sicher, dass der normale Hypervisor keinen Zugriff auf die Inhalte der Realms hat.

  • Kryptographische Attestierung

    Ein Realm kann jederzeit einen kryptographischen Beweis seiner Authentizität und Integrität erbringen, um für DORA-Audits nachzuweisen, dass er in einer geschützten Umgebung läuft.

Anwendungsstrategien

In der Cloud

Finanzinstitute können bestehende Anwendungen ohne Modifikation in einem Realm in der Cloud ausführen. Der Cloud-Anbieter hat keinen Zugriff auf die Daten, was das Drittparteienrisiko minimiert.

Im eigenen Rechenzentrum & am Edge

Die Energieeffizienz von ARM macht CCA ideal für den Einsatz in eigenen Rechenzentren oder für Edge-Computing, um eine strikte "Separation of Duties" durchzusetzen.

Zukünftige Umsetzung bei führenden Cloud-Anbietern

  • Amazon Web Services (AWS): Es wird erwartet, dass AWS die CCA-Funktionalität in zukünftige Generationen seiner AWS Graviton-Prozessoren als Teil des AWS Nitro Systems integriert.
  • Google Cloud: Google wird ARM CCA voraussichtlich in zukünftige Versionen seiner ARM-basierten Tau T2A-Instanzen integrieren, passend zum Confidential Space-Angebot.
  • Microsoft Azure: Azure wird voraussichtlich Unterstützung für ARM CCA in seine ARM-basierten VM-Familien (Dpsv5/Epsv5-Serien) aufnehmen und an den Azure Attestation-Dienst anbinden.