Создайте безопасную инфраструктуру для ваших сервисов. Изолируйте данные приложений и кода в отдельном защищенном пространстве процессора — анклаве.
Что такое анклав и как устроена работа с ним
Внутри сервера — пространство с защищенной частью оперативной памяти
На выделенных или облачных серверах доступна технология Intel® Software Guard Extensions (Intel® SGX). Специальный набор инструкций процессора позволяет выделить часть оперативной памяти, поместить туда программный код или важную информацию и защитить все это от доступа со стороны других приложений. Это и называется анклав. Данные из памяти анклава могут быть расшифрованы только самим приложением.
Злоумышленники не доберутся до данных
Анклав изолирован от остальной системы, включая ОС, гипервизор и пользователей с root-доступом. То есть благодаря Intel® SGX пользователь исключается из цепочки доверия вне зависимости от уровня привилегий, которым он может обладать. Защищенную часть памяти видит только код, загруженный в анклав при его создании.
Безопасный обмен информацией
Если вы хотите безопасно передавать информацию без обмена ключами, используйте два связанных анклава: у вас и на стороне партнера, через удаленную аттестацию. Информация, переданная одним анклавом, может быть обработана в другом без передачи ключа в открытом виде.
Где пригодится создание анклавов
ML
Обучение моделей ML без раскрытия набора данных, безопасное федеративное и совместное обучение.
Хранение секретов
Безопасное хранение и использование ключей, сертификатов и токенов.
Блокчейн
Совместное безопасное владение цифровыми активами. Проведение транзакций с помощью генерации подписи из частей приватного ключа.
Работа с данными
Обеспечение безопасности обработки конфиденциальных, биометрических или платежных данных.
Источник: https://selectel.ru/lab/anklav/