Inicio/Blog/Datos confidenciales en SaaS
Seguridad Cloud

Confidential computing para datos de SaaS multi-tenant

El cifrado en reposo protege almacenamiento. TLS protege transporte. Analytics sensibles y funciones de IA todavía necesitan plaintext durante el procesamiento. Confidential computing cambia quién debe ser confiable en ese momento.

Un TEE reduce confianza en infraestructura; no sustituye aislamiento de tenant

Confidential Computing Consortium define confidential computing como protección de datos en uso mediante computación en un Trusted Execution Environment basado en hardware y atestiguado. El TEE puede aislar código y memoria de otros workloads y, según la tecnología, del software privilegiado del host. Es útil cuando el cliente SaaS no quiere que administradores cloud, operadores o infraestructura comprometida vean procesamiento sensible.

No convierte código inseguro en seguro. Si el workload medido tiene un filtro de tenant roto, registra plaintext, envía prompts a un endpoint externo o devuelve registros individuales en un informe agregado, el TEE protege y ejecuta fielmente el comportamiento incorrecto. Autenticación, autorización, alcance de tenant, minimización y control de salida siguen siendo responsabilidad de la aplicación.

Aislamiento de plataformaHardware y firmware TEE aíslan memoria y ejecución del host y workloads vecinos.
Identidad del workloadEvidencia de attestation identifica código, configuración, estado de plataforma y propiedades.
Política del tenantAutorización decide qué workload procesa qué datos para qué propósito aprobado.
Corrección de aplicaciónEl código todavía impone filtros, minimización, queries seguras, límites de salida y auditoría.

La arquitectura útil libera claves solo después de attestation

Remote attestation permite que un verificador evalúe evidencia sobre workload y plataforma antes de confiar. RFC 9334 ofrece una arquitectura neutral para attesters, verificadores, evidence, claims y relying parties. En la práctica, un key broker o KMS debe liberar la data key del tenant únicamente cuando evidencia fresca coincida con reference values y política aprobados.

Límite de procesamiento confidencial multi-tenant
Entradas cifradasData plane de tenantsTenant A y B mantienen separados ciphertext, claves, retención, consentimiento, propósito y autorización. El host normal solo ve payloads cifrados y metadatos de enrutamiento.
Límite atestiguadoWorkload confidencialUna imagen medida corre en el TEE. Tras attestation y política, recibe solo la clave autorizada, descifra lo mínimo, ejecuta analytics o inferencia y elimina estado plaintext.
Salidas controladasResultados y evidenciaLibera solo agregados, predicciones, informes o artefactos cifrados aprobados. Conserva attestation, propósito, query, política, checks y destinatario.
01 ProgramarIniciar workloadInicia VM, container, enclave o GPU confidencial con versión conocida.
02 MedirGenerar evidenciaVincula hardware, TCB, imagen, boot, configuración, nonce y clave pública.
03 VerificarEvaluar claimsValida firmas, frescura, endorsements, reference values, revocación y política.
04 AutorizarComprobar propósitoConfirma tenant, dataset, operación, consentimiento, región, modelo, salida y expiración.
05 LiberarEncapsular data keyDevuelve la clave solo a la clave efímera o canal seguro del workload atestiguado.
06 ProcesarLimitar salidaDescifra lo mínimo, calcula, verifica divulgación, cifra resultado y limpia secretos.

Claves por tenant requieren política de liberación por tenant

Un enclave compartido procesando muchos tenants se vuelve concentración de riesgo. Mantén data keys separadas y evalúa política en cada liberación. Vincula autoridad a tenant, dataset, propósito, medición, versión de modelo o query, región, ventana temporal y clase de salida. Un TEE válido no debe recibir automáticamente todas las claves.

Analytics cross-tenant exige semántica explícita. Define tamaño mínimo de cohorte, dimensiones permitidas, differential privacy o supresión cuando corresponda y checks contra reconstrucción. Si la salida expone un tenant mediante la query de otro, el cifrado de memoria no resolvió privacidad.

Amenaza o falloCómo ayuda el TEEControl necesario en aplicación u operaciónEvidencia a conservar
Operador de host malicioso o comprometidoProtege memoria y ejecución medida del acceso del host dentro del threat model.Elegir modo TEE, validar claims, actualizar firmware y evitar I/O plaintext.Claims, versión TCB, endorsements, política y log de liberación.
Bug cross-tenant en aplicaciónNada si el workload aprobado lee datos del tenant equivocado.Queries por tenant, autorización de objetos, claves separadas, pruebas y output checks.Contexto, plan de query, autorización, particiones tocadas y política de salida.
Imagen de workload comprometidaAttestation identifica mediciones distintas a valores aprobados.Builds firmados, imágenes reproducibles, vulnerabilidades, revocación y key release deny-by-default.Digest, SBOM, signer, deployment, reference value y motivo del rechazo.
Side channel o I/O expuestoAlgunos TEEs reducen acceso directo a memoria; las protecciones varían.Threat modeling, código constant-time donde proceda, canales cifrados y minimización de metadatos.Capacidad de plataforma, mitigaciones, riesgo residual y monitorización.
Salida sensible del modeloLa computación permanece aislada durante ejecución.Política de prompt y retrieval, filtros, agregación, autorización del receptor y pruebas de leakage.Modelo, fuentes, clase de salida, checks, receptor y aprobación.
Debug o fallback operativoEl TEE puede restringir introspección y dumps deliberadamente.Telemetría saneada, replay sintético, break-glass, key release fail-closed y recuperación.Versión atestiguada, fallo, acción del operador, excepción y ciclo del secreto.

El trusted computing base debe ser pequeño y observable

Confidential VMs completas mejoran compatibilidad, pero aumentan el trusted computing base. Enclaves menores reducen código confiable y aumentan complejidad. Elige el límite desde el threat model, no desde un checkbox. Bibliotecas, runtime de modelo, plugins, certificados y configuración dentro de la medición afectan riesgo y despliegue.

La visibilidad operativa debe diseñarse. Evita logs plaintext y crash dumps. Emite métricas estructuradas seguras por tenant y diagnósticos cifrados. Correlaciona IDs de attestation, clave, job, dataset, modelo y salida sin secretos. Planifica parches porque cambios de firmware o imagen alteran mediciones y pueden bloquear claves.

La IA confidencial todavía necesita política de egress

Inferencia dentro de un TEE protege prompts, datos recuperados, embeddings y pesos de la infraestructura. La protección termina si el workload envía datos a una API de modelo, plugin, colector o callback no confiable. Destinos de red, protocolos, DNS, certificados y respuestas pertenecen a la política del workload atestiguado.

En analytics multi-party, un entorno atestiguado permite que propietarios aporten entradas cifradas sin acceso bruto a los datos de otros. Google Confidential Space describe este patrón. La pregunta difícil sigue siendo qué resultado puede conocer cada parte.

Lo que construiría

Construiría un servicio de analytics confidencial con envelope encryption por tenant, verificador externo, key broker por política, imágenes firmadas, reference values inmutables y output gateway. Los jobs declararían tenant, dataset, propósito, versión de código o modelo, clase de salida, retención y destinatario antes de programarse.

La vista operativa mostraría salud de attestation, versiones TCB e imagen, decisiones de key release, alcance por tenant, política de salida, mediciones rechazadas, capacidad, latencia y workloads bloqueados por parche o revocación.

El principio de diseño

Confidential computing debe transformar confianza en infraestructura en confianza verificable en el workload. Atestigua antes de liberar claves, limita cada liberación a tenant y propósito, minimiza el límite confiable, controla salidas tan estrictamente como entradas y trata evidencia operativa como parte de la seguridad.