Strategie zur DORA-Erfüllung mit IBM Secure Execution
IBM Secure Execution ist ein integraler Bestandteil der IBM Z und LinuxONE Plattformen und bietet vollständige Isolation für Linux-Workloads in sogenannten "Secure Execution Guests", ohne dass Anwendungen angepasst werden müssen.
Kernfunktionen
-
VM-Isolation
Secure Execution schützt ganze KVM-basierte Linux-Gäste und stellt sicher, dass weder der KVM-Host noch andere Gäste auf den Speicher oder CPU-Zustand des geschützten Gastes zugreifen können.
-
Umfassende Speicherverschlüsselung und -integrität
Die Hardware verschlüsselt den gesamten Speicher des geschützten Gastes und schützt dessen Integrität, sodass Daten weder ausgelesen noch unbemerkt verändert werden können.
-
Isolation durch den "Ultravisor"
Eine einzigartige Abstraktionsebene in der Prozessor-Firmware verwaltet die Hardwareressourcen und isoliert die Gäste vollständig vom zentralen KVM-Host.
-
Kryptographische Attestierung
Ein Secure Execution Gast kann ein vom Ultravisor signiertes Attestierungsdokument anfordern, um extern fälschungssicher nachzuweisen, dass der Workload unverändert in der geschützten Umgebung läuft.
Anwendungsstrategien
In der Cloud
IBM nutzt Secure Execution als Fundament für seine "Hyper Protect Services", bei denen nicht einmal IBM als Cloud-Anbieter Zugriff auf die verarbeiteten Daten hat. Die Attestierung liefert den DORA-Nachweis.
Im eigenen Rechenzentrum
Finanzinstitute, die IBM Z Mainframes nutzen, können kritische Linux-Anwendungen in Secure Execution Guests betreiben, um sie vollständig von anderen Workloads und Administratoren zu isolieren.
Umsetzung in der IBM Cloud
Die Technologie ist die Basis für die IBM Cloud Hyper Protect Services:
- Hyper Protect Virtual Servers: Bieten vollständige Isolation für Kunden-Workloads.
- Hyper Protect Crypto Services: Ein "Keep Your Own Key" (KYOK) Service, der als einziger Cloud-HSM-Dienst FIPS 140-2 Level 4 zertifiziert ist.
- Hyper Protect DBaaS: Bietet verwaltete Datenbanken, die vollständig in Secure Execution Gästen gekapselt sind.