Bescherming voor Athumi’s Data met Onze Attestatieservice
19.06Athumi speelt een belangrijke rol in de Vlaamse data-economie als neutrale partner: ze maken allerlei data zo bruikbaar en beschikbaar mogelijk. Een groot deel van die data bevat gevoelige informatie van zowel bedrijven als overheidsinitiatieven.
Privacy en ‘security by design’ staan bovenaan hun lijst van prioriteiten wegens verschillende wetten en regelgeving rond databescherming. Denk bijvoorbeeld aan het informatieclassificatieraamwerk (ICR) van de Vlaamse overheid en de bredere ISO 27001 en NIS2 compliance-frameworks. Daarom gebruikt Athumi Azure confidential computing om data te verwerken in op hardware gebaseerde Trusted Execution Environments (TEE’s).
Maar hoe kunnen organisaties zoals Athumi verifiëren dat de TEE’s correct opgezet en opgestart zijn vooraleer ze kritieke data verwerken? In die gevallen wil je er namelijk niet zomaar op vertrouwen, maar het zeker weten. Daarom implementeerden we een gespecialiseerde attestatieservice die Athumi de nodige zekerheid geeft en helpt om hun security-taken gescheiden te houden.
De uitdaging
Hoewel Azure confidential computing al een cruciaal onderdeel was van hun security, wou Athumi nog een stap verder gaan. Ze wilden er absoluut zeker van zijn dat elke applicatie met gevoelige data opstart in een omgeving die gegarandeerd veilig en ongewijzigd blijft. Niet één keer, maar bij elke opstart.
Concreet zocht Athumi naar een manier om de integriteit van elke Trusted Execution Environment (TEE) automatisch en onafhankelijk te verifiëren. Die geautomatiseerde oplossing moest niet alleen checken of de omgeving voldeed aan de standaarden van Azure, maar ook aan hun eigen, strenge security-policies gebaseerd op het ICR van de Vlaamse overheid.
“Ons voornaamste doel was een cruciale scheiding van verantwoordelijkheden. We hadden een derde partij nodig die onafhankelijk kon attesteren dat de setup correct is geconfigureerd door ons team en correct geïntegreerd met Azure.”
– David Van den Brande, CTO @ Athumi
De oplossing
Om Athumi de onafhankelijke zekerheid te geven die ze zochten, implementeerden we onze gespecialiseerde attestatieservice. Een betrouwbare, productieklare oplossing die we ontwierpen om rechtstreeks te integreren in de deploymentprocessen van Azure Kubernetes Service (AKS).
Onze attestatieservice draait als een init container binnen de Kubernetes pods van Athumi. Dit betekent dat onze client de cruciale checks voltooit nog voor de main application container van Athumi zelf kan opstarten. Dat proces verloopt in acht stappen:
1. Deployment van de attestation client
We zetten een nieuwe Kubernetes Deployment op waarin onze attestatieclient als init container draait. De main application service van Athumi wordt hier ook gedefinieerd, maar start pas op als onze client de omgeving met succes heeft gevalideerd.
2. Validatie van de TPM hardware signature
De attestatieclient start met het controleren van de handtekening van de Trusted Platform Module (TPM) van de node, een hardware-chip die de state van het systeem bevestigt.
3. Ophalen van TPM logs
Vervolgens vraagt de client de logs op van de TPM. Die logs bevatten cryptografische metingen van de platformstatus (zoals firmware- en kernelconfiguraties) en bewijzen zo de integriteit van de omgeving.
4. Data versturen naar de attestatieprovider
Op basis van de verzamelde TPM-logs en de hardware signature genereert de client een REST request naar Azure Attestation. Hiermee worden de hardware-checks op de node verbonden met de externe verificatiedienst.
5. Validatie door de attestatieprovider
De attestatieprovider ontvangt de data en vergelijkt die met de attestatiepolicy. Hierin staan regels voor bijvoorbeeld specifieke firmwareversies of bepaalde security baselines. Als de data aan deze eisen voldoet, beschouwt de provider de omgeving als veilig.
6. Respons van de attestatieprovider
Na validatie stuurt de provider een JSON Web Token (JWT) terug naar onze attestatieclient. Deze token dient als cryptografisch bewijs dat de omgeving voldoet aan de securitystandaarden van de provider.
7. Validatie van de attestation response
Onze attestatieclient verwerkt de net ontvangen JWT. De client controleert de authenticiteit en vergelijkt de inhoud met de specifieke, op voorhand geconfigureerde validatieregels van Athumi.
8. Starten of blokkeren van de service
Is de JWT geldig én bevestigen alle checks dat de workload op confidentiële hardware draait volgens zowel de provider als de policy van Athumi? Dan geeft onze client groen licht en mag de main service opstarten. Faalt een van de validaties, dan blokkeert de client het proces zodat de service niet draait in een onbetrouwbare omgeving.
Normaal gezien kunnen we zo’n service (exclusief de integratie van custom policies) binnen een dag opzetten. Athumi vroeg ons om ook gedetailleerde audit logging toe te voegen. Deze feature kostte wel wat extra tijd, maar heeft hen op lange termijn veel opgeleverd.
De toegewijde single-point-of-contact ondersteuning van CloudFuel heeft de integratie enorm vereenvoudigd, wat resulteerde in een efficiënte en ‘first-time-right’ setup.
– David Van den Brande
De resultaten
Wat heeft Athumi nu concreet aan onze attestatieservice? In één woord: zekerheid.
Bij elke deployment van een gevoelige applicatie krijgt Athumi nu het geautomatiseerde, cryptografische bewijs dat hun Trusted Execution Environment (TEE) veilig en ongewijzigd is. Dit gebeurt telkens opnieuw, vlak voordat de applicatie opstart.
Dat niveau van onafhankelijke verificatie is cruciaal. Het helpt hen rechtstreeks om te voldoen aan strenge compliance-regels voor het verwerken van confidentiële en persoonlijke gegevens, omdat ze nu duidelijk, auditeerbaar bewijs kunnen voorleggen.
Operationeel gezien past de service naadloos in hun Kubernetes-workflows via de init container. Het voegt een essentiële security-stap toe zonder hun deployment-proces ingewikkelder te maken.
De custom audit logging die we voor hen bouwden, geeft Athumi bovendien een gedetailleerd overzicht van alle attestatie-events, wat zorgt voor meer controle en inzicht. Dit alles zorgt ervoor dat ze Azure confidential computing met veel meer vertrouwen kunnen gebruiken. Zo bewijzen ze hun commitment aan dataprivacy en versterken ze hun rol in de Vlaamse data-economie. Want, zoals David Van den Brande het graag zegt: “security is a never-ending story.”
Wil je de integriteit van je confidential computing-omgevingen garanderen? Onze attestation service biedt je de cryptografische zekerheid die je nodig hebt.
