Início/Blog/Dados confidenciais em SaaS Segurança CloudConfidential computing para dados de SaaS multi-tenant
Criptografia em repouso protege armazenamento. TLS protege transporte. Analytics sensíveis e funcionalidades de IA ainda precisam de plaintext durante o processamento. Confidential computing muda quem precisa ser confiável nesse momento.
Publicado em 18 de jun. de 202615 min de leituraDados Em Uso
Um TEE reduz confiança na infraestrutura; não substitui isolamento de tenant
O Confidential Computing Consortium define confidential computing como proteção de dados em uso por meio de computação em um Trusted Execution Environment baseado em hardware e com attestation. O TEE pode isolar código e memória de outros workloads e, conforme a tecnologia, de software privilegiado do host. Isso é útil quando o cliente SaaS não quer que administradores cloud, operadores ou infraestrutura comprometida vejam o processamento sensível.
Isso não torna código inseguro em código seguro. Se o workload medido tem filtro de tenant quebrado, registra plaintext, envia prompts a endpoint externo ou retorna registros individuais em um relatório agregado, o TEE protege e executa fielmente o comportamento errado. Autenticação, autorização, escopo de tenant, minimização e controle de saída continuam sendo responsabilidade da aplicação.
Isolamento da plataformaHardware e firmware do TEE isolam memória e execução do host e de workloads vizinhos.
Identidade do workloadEvidência de attestation identifica código, configuração, estado da plataforma e propriedades de segurança.
Política do tenantAutorização decide qual workload processa quais dados, para qual finalidade aprovada.
Correção da aplicaçãoO código ainda impõe filtros, minimização, queries seguras, limites de saída e auditoria.
A arquitetura útil libera chaves somente após attestation
Remote attestation permite que um verificador avalie evidência sobre workload e plataforma antes que uma parte confie neles. A RFC 9334 oferece arquitetura neutra para attesters, verificadores, evidence, claims e relying parties. Na prática, um key broker ou KMS deve liberar a data key do tenant apenas quando evidência recente corresponder a reference values e política aprovados.
Fronteira de processamento confidencial multi-tenantEntradas criptografadasData plane dos tenantsTenant A e B mantêm ciphertext, chaves, retenção, consentimento, finalidade e autorização separados. O host comum vê apenas payloads criptografados e metadados de roteamento.
Fronteira atestadaWorkload confidencialUma imagem medida roda no TEE. Após attestation e política, recebe apenas a chave autorizada, descriptografa o mínimo, executa analytics ou inferência e elimina o estado em plaintext.
Saídas controladasResultados e evidênciaLibere apenas agregados, previsões, relatórios ou artefatos criptografados aprovados. Preserve resultado de attestation, finalidade, query, política, checks e destinatário.
01 AgendarIniciar workloadInicie VM, container, enclave ou GPU confidencial com versão conhecida.
02 MedirGerar evidênciaVincule hardware, TCB, imagem, boot, configuração, nonce e chave pública.
03 VerificarAvaliar claimsValide assinaturas, frescor, endorsements, reference values, revogação e política.
04 AutorizarChecar finalidadeConfirme tenant, dataset, operação, consentimento, região, modelo, saída e expiração.
05 LiberarEncapsular data keyRetorne a chave apenas à chave efêmera ou canal seguro do workload atestado.
06 ProcessarLimitar saídaDescriptografe o mínimo, compute, verifique divulgação, criptografe resultado e limpe segredos.
Chaves por tenant exigem política de liberação por tenant
Um enclave compartilhado processando muitos tenants vira concentração de risco. Mantenha data keys separadas e avalie política em toda liberação. Vincule autoridade a tenant, dataset, finalidade, medição do workload, versão do modelo ou query, região, janela de tempo e classe de saída. Um TEE válido não deve receber automaticamente todas as chaves.
Analytics cross-tenant exigem semântica explícita. Defina tamanho mínimo de coorte, dimensões permitidas, differential privacy ou regras de supressão quando apropriado e checks contra reconstrução. Se a saída expõe um tenant por meio da query de outro, criptografia de memória não resolveu privacidade.
| Ameaça ou falha | Como o TEE ajuda | Controle ainda necessário na aplicação ou operação | Evidência a reter |
|---|
| Operador de host malicioso ou comprometido | Protege memória e execução medida contra acesso do host dentro do threat model. | Escolher modo TEE correto, validar claims, atualizar firmware e evitar I/O plaintext. | Claims, versão do TCB, endorsements, política e log de liberação de chave. |
| Bug cross-tenant na aplicação | Nada, se o próprio workload aprovado lê dados do tenant errado. | Queries conscientes de tenant, autorização de objeto, chaves separadas, testes e output checks. | Contexto do tenant, plano da query, autorização, partições acessadas e política de saída. |
| Imagem de workload comprometida | Attestation identifica medições diferentes dos valores aprovados. | Builds assinados, imagens reproduzíveis, vulnerabilidades, revogação e key release deny-by-default. | Digest, SBOM, signer, deployment, reference value e motivo da recusa. |
| Side channel ou I/O exposto | Alguns TEEs reduzem acesso direto à memória; proteções variam. | Threat modeling, código constant-time quando necessário, canais criptografados e minimização de metadados. | Capacidade da plataforma, mitigações, risco residual e monitoramento. |
| Saída sensível do modelo | A computação permanece isolada durante a execução. | Política de prompt e retrieval, filtros, agregação, autorização do destinatário e testes de leakage. | Modelo, fontes, classe de saída, checks, destinatário e aprovação. |
| Debug ou fallback operacional | O TEE pode restringir introspecção e dumps deliberadamente. | Telemetria sanitizada, replay sintético, break-glass, key release fail-closed e recuperação. | Versão atestada, código de falha, ação do operador, exceção e ciclo do segredo. |
O trusted computing base deve ser pequeno e observável
Confidential VMs inteiras melhoram compatibilidade, mas aumentam o trusted computing base. Enclaves menores reduzem código confiável, porém aumentam complexidade. Escolha a fronteira a partir do threat model, não de um checkbox. Biblioteca, runtime de modelo, plugin, certificado e configuração dentro da medição afetam risco e deploy.
Visibilidade operacional precisa ser projetada. Evite logs plaintext e crash dumps. Emita métricas estruturadas e seguras por tenant e diagnósticos criptografados. Correlacione IDs de attestation, chave, job, dataset, modelo e saída sem colocar segredos na telemetria. Planeje patches porque atualizações de firmware ou imagem mudam medições e podem bloquear chaves.
IA confidencial ainda precisa de política de egress
Inferência dentro de TEE protege prompts, dados recuperados, embeddings e pesos contra a infraestrutura. A proteção termina se o workload envia dados a uma API de modelo, plugin, coletor ou callback não confiável. Destinos de rede, protocolos, DNS, certificados e respostas pertencem à política do workload atestado.
Em analytics multi-party, um ambiente atestado permite que proprietários contribuam entradas criptografadas sem acesso bruto aos dados uns dos outros. Google Confidential Space descreve esse padrão. A pergunta mais difícil continua sendo qual resultado cada parte pode aprender.
O que eu construiria
Eu construiria um serviço de analytics confidencial com envelope encryption por tenant, verificador externo, key broker orientado por política, imagens assinadas, reference values imutáveis e output gateway. Jobs declarariam tenant, dataset, finalidade, versão de código ou modelo, classe de saída, retenção e destinatário antes do agendamento.
A visão operacional mostraria saúde da attestation, versões de TCB e imagem, decisões de key release, escopo por tenant, resultado de políticas de saída, medições rejeitadas, capacidade, latência e workloads bloqueados por patch ou revogação.
O princípio de design
Confidential computing deve transformar confiança na infraestrutura em confiança verificável no workload. Faça attestation antes de liberar chaves, limite cada liberação a tenant e finalidade, minimize a fronteira confiável, controle saídas tão estritamente quanto entradas e trate evidência operacional como parte da segurança.