{"id":30706,"date":"2026-01-31T06:11:00","date_gmt":"2026-01-31T05:11:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=30706"},"modified":"2026-01-26T11:31:34","modified_gmt":"2026-01-26T10:31:34","slug":"im-test-confidential-computing-mit-der-enclaive-multi-cloud-platform","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=30706","title":{"rendered":"Im Test: Confidential Computing mit der Enclaive Multi Cloud Platform"},"content":{"rendered":"\n

Autor: Dr. G\u00f6tz G\u00fcttich, Senior IT-Security Consultant bei Twinsoft<\/a><\/p>\n\n\n\n

Die Multi Cloud Platform von Enclaive soll Daten und Workloads vor unbefugten Zugriffen sch\u00fctzen und so den Weg zur digitalen Souver\u00e4nit\u00e4t \u00f6ffnen. Dazu verschl\u00fcsselt die L\u00f6sung die Informationen der Anwender nicht nur w\u00e4hrend der \u00dcbertragung und Speicherung, sondern auch w\u00e4hrend der Verarbeitung (at rest, in motion and in use). Das System arbeitet mit virtuellen Hardware-Security-Modulen (vHSM).<\/p>\n\n\n\n

\"\"
Die VM im laufenden Betrieb (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Enclaive wendet sich mit seinem Produkt an Beh\u00f6rden, Einrichtungen im Gesundheitswesen, Finanzdienstleister, die Industrie und Institutionen, die mit Recht und Steuern zu tun haben. Zu den Use-Cases geh\u00f6ren nach Herstellerangaben Cloud-Transformationen f\u00fcr Unternehmen und sichere Entwicklung sowie sicherer Betrieb. Dazu kommt noch die Entwicklung beziehungsweise der Betrieb von KI\/ML-Tools. Die L\u00f6sung ist NIS2-, DSGVO- und Privacy-Shield-2.0-konform.<\/p>\n\n\n\n

Der Enclaive-Confidential-Computing-Ansatz sichert den Umgang mit vertraulichen Informationen und die Verarbeitung sensibler Daten mit Hilfe von Technologien, die hardware-seitig in moderne CPUs integriert wurden. Dazu geh\u00f6ren AMD-SEV, Intel SGX, Intel TDX und ARM CCA. Cloud-Service-Provider wie Amazon, Google und Microsoft bieten diese Technologien an und machen sie so f\u00fcr alle verf\u00fcgbar. Das bedeutet, dass Organisationen aller Art dazu in die Lage versetzt werden, ihre Workloads mit Hilfe von vertrauensw\u00fcrdiger Hardware abzusichern.<\/p>\n\n\n\n

Um diese Hardware zu nutzen, w\u00e4re es \u2013 ohne zus\u00e4tzliche Dienstleistung \u2013 erforderlich, die betroffenen Anwendung entsprechend anzupassen. Dadurch k\u00f6nnten Silos entstehen und die Verwaltungskomplexit\u00e4t zunehmen.<\/p>\n\n\n\n

Die Enclaive Multi Cloud Platform (EMCP)<\/strong><\/a><\/p>\n\n\n\n

Mit der Enclaive Multi Cloud Platform (EMCP) entf\u00e4llt diese Anpassung. Enclaive bietet eine Software an, die die zugrundeliegende CPU-Hardware abstrahiert und zur Laufzeit direkt mit den darauf betriebenen Anwendungen kommuniziert. Das funktioniert \u00fcber unterschiedliche Cloud-Plattformen und Prozessoren hinweg. Im Betrieb wird die dauerhafte Verschl\u00fcsselung der Daten genauso sichergestellt, wie die Verifikation der Authentizit\u00e4t des Codes. Da das Confidential Computing auf der Chip-Hardware aufsetzt, l\u00e4sst sich mit der genannten L\u00f6sung ein sehr hohes Niveau an Vertrauen, Integrit\u00e4t und Sicherheit realisieren, ohne dabei hohe Leistungseinbu\u00dfen hinnehmen zu m\u00fcssen. Dar\u00fcber hinaus sichert das Produkt \u2013 wie angesprochen \u2013 alle Daten: Im Arbeitsspeicher, auf Storage-Ger\u00e4ten, im Netzwerk und in der Cloud.<\/p>\n\n\n\n

Mit ECMP lassen sich folglich bestehende Anwendungen relativ problemlos in die Cloud migrieren, ohne dass es dazu erforderlich ist, Zugest\u00e4ndnisse in Bezug auf Privatsph\u00e4re, Sicherheit und Isolation der Applikationen zu machen. Die L\u00f6sung unterst\u00fctzt nicht nur Anwendungen im Allgemeinen, sondern auch Container, Kubernetes und \u00c4hnliches.<\/p>\n\n\n\n

Das Enclaive Web-Interface<\/strong><\/a><\/p>\n\n\n\n

Loggt sich ein User beim Web-Interface der L\u00f6sung ein (uns stellte f\u00fcr diese Analyse der Enclaive-Partner \u201ePrianto\u201c einen entsprechenden Zugang zur Verf\u00fcgung), so landet er in einer \u00dcbersicht der existierenden Kundenprojekte. Hier hat er die M\u00f6glichkeit, Projekte anzulegen und zu verwalten.<\/p>\n\n\n\n

Unter \u201eManage\u201c lassen sich den Projekten verschl\u00fcsselte Anwendungen, Datenbanken, Kubernetes-Cluster und virtuelle Maschinen (VMs) hinzuf\u00fcgen. M\u00f6chte man eine VM in ein Projekt einbinden, so hat man zun\u00e4chst die M\u00f6glichkeit, einen Cloud-Provider zu selektieren. In diesem Zusammenhang bietet Enclaive Azure, AWS und GCP an, in Zukunft sollen noch OVH, StackIT und WX-One hinzukommen. Im n\u00e4chsten Schritt geht es an die Auswahl der Region, beispielsweise Irland oder Deutschland und des zu verwendenden Rechenzentrums.<\/p>\n\n\n\n

Sobald die dazugeh\u00f6rigen Angaben gemacht wurden, k\u00f6nnen die zust\u00e4ndigen Mitarbeiter das zu verwendende Image und die zu nutzende Betriebssystemversion ausw\u00e4hlen (Ubuntu oder Debian). Im n\u00e4chsten Schritt kommt die Kategorie f\u00fcr die Instanz an die Reihe. Hier haben die Verantwortlichen die Wahl zwischen \u201eGeneral Purpose\u201c und \u201eStorage Purpose\u201c und k\u00f6nnen sich f\u00fcr eine bestimmte Anzahl an vCPUs, Arbeitsspeicher und Storage-Speicher entscheiden. Das System gibt hier auch immer gleich die damit verbundenen Preise pro Stunde und pro Monat an.<\/p>\n\n\n\n

Haben sich die zust\u00e4ndigen Mitarbeiter f\u00fcr eine bestimmte Instanz entschieden, k\u00f6nnen sie die Authentifizierungsmethode festlegen, hier bietet das System Passw\u00f6rter oder SSH-Keys an. Zum Schluss geht es daran, die zu verwendende Subscription (bei AWS, Azure oder GCP) \u00fcber einen API-Key auszuw\u00e4hlen und die Zahl der mit den gemachten Einstellungen zu erstellenden VMs anzugeben. Dar\u00fcber hinaus besteht noch die Option, den VMs Namen zuzuweisen und das Projekt, mit dem sie verkn\u00fcpft werden, zu selektieren.<\/p>\n\n\n\n

Im Zusammenhang mit dem Preis ist es noch wichtig zu wissen, dass dieser sowohl die Lizenzkosten des jeweiligen Cloud-Providers, als auch die Ausgaben f\u00fcr Enclaive umfasst. Es gibt also keine versteckten Kosten.<\/p>\n\n\n\n

Weitere Dienste und Optionen<\/strong><\/a><\/p>\n\n\n\n

Analog zur Einrichtung der VMs l\u00e4uft die Integration der Anwendungen (hier unterst\u00fctzt Enclaive derzeit Nextcloud und OpenDesk) und der Datenbanken. Letztere m\u00fcssen momentan zwingend auf Basis von MariaDB realisiert werden. Bei den Kubernetes-Clustern besteht nicht nur die M\u00f6glichkeit, Cluster verschiedener Gr\u00f6\u00dfen auszuw\u00e4hlen, sondern auch \u201eSingle Control Planes\u201c f\u00fcr Test- und Entwicklungsumgebungen.<\/p>\n\n\n\n

Die Credentials f\u00fcr Apps und Datenbanken, sowie f\u00fcr SSH-Zug\u00e4nge und die Cloud-API-Keys werden \u00fcber den Eintrag \u201eVault\u201c im Men\u00fc \u201evHSM\u201c verwaltet. Unter \u201eSettings\u201c lassen sich Teams einrichten, API-Keys f\u00fcr Azure, AWS und GCP eintragen und Usage-Quotas f\u00fcr die genannten Cloud-Provider festlegen. Der Billing-Bereich erm\u00f6glicht es, die aktuellen Kosten und die Billing-History anzuzeigen und Billing Alerts zu definieren. Links zur Dokumentation und zum Support schlie\u00dfen den Leistungsumfang des Web-Interfaces ab.<\/p>\n\n\n\n

Die Arbeit mit dem Enclaive-Web-Interface gestaltet sich folglich verh\u00e4ltnism\u00e4\u00dfig einfach und wir hatten im Betrieb wiederholt den Eindruck, dass die Konfiguration der Assets damit leichter zu realisieren ist, als mit den nativen Web-Interfaces der jeweiligen Cloud-Anbieter.<\/p>\n\n\n\n

Das System in der Praxis<\/strong><\/a><\/p>\n\n\n\n

F\u00fcr unseren Test legten wir eine Azure-basierte VM unter Ubuntu 24.04.02 LTS an. Dabei gingen wir so vor, wie eben beschrieben und es traten keinerlei Probleme auf. Im Betrieb verhielt sich die VM erwartungsgem\u00e4\u00df, wir konnten verz\u00f6gerungsfrei mit ihr arbeiten und sie f\u00fcr verschiedene Aufgaben verwenden. Beispielsweise installierten wir darauf Apache und setzten sie als Web-Server ein.<\/p>\n\n\n\n

Im laufenden Betrieb haben die Anwender ECMP-basierter VMs die Option, sich \u00fcber das Web-Interface eine Liste der vorhandenen VMs anzeigen zu lassen. In dieser Liste finden sich Informationen zum Status der jeweiligen VM (on\/off) und zur Verschl\u00fcsselung und den Zertifikaten (letztere lassen sich hier auch herunterladen). Dar\u00fcber hinaus besteht auch die Option, Credentials einzusehen und die VMs zu verschieben und zu l\u00f6schen.<\/p>\n\n\n\n

Wechseln die Verantwortlichen auf den Eintrag einer VM, so landen sie in einer \u00dcbersicht, die Aufschluss \u00fcber den Status der VM (beispielsweise \u201eWorking\u201c), die verwendete \u00f6ffentliche IP-Adresse, das zum Einsatz kommende Rechenzentrum und das Setup mit CPUs, RAM und Disk gibt. Dazu kommen das verwendete Image (in unserem Fall Ubuntu 24.04.02 LTS), der Provider, die st\u00fcndlichen und monatlichen Kosten, der Eigent\u00fcmer, das Erstellungsdatum und eventuell vergebene Tags.<\/p>\n\n\n\n

Auf der linken Seite befindet sich ein Men\u00fcbereich, in dem sich noch andere Funktionen aufrufen lassen. Dazu geh\u00f6ren die verwendeten Credentials, die Disk mit dem eingesetzten Verschl\u00fcsselungs-Key, die M\u00f6glichkeit, die VM ein- und auszuschalten beziehungsweise zu l\u00f6schen und die Netzwerkeinstellungen. Letztere lassen sich nutzen, um Firewall-Regeln anzulegen, die die Kommunikation der VM mit dem Internet steuern. Standardm\u00e4\u00dfig ist eingehender SSH-Verkehr zugelassen, damit sich die zust\u00e4ndigen Mitarbeiter mit der Konsole verbinden k\u00f6nnen. Im Test gaben wir auch noch den Zugriff auf unseren Web-Server frei, damit man ihn von \u00fcberall aus nutzen konnte. Dabei traten keinerlei Probleme auf.<\/p>\n\n\n\n

Etwas irritierend ist, dass Funktionen, die noch nicht implementiert wurden, ebenfalls im Web-Interface angezeigt werden, wenn auch in ausgegrauter Form. So sind beispielsweise Felder f\u00fcr \u201eGraphs\u201c, \u201eVolumes\u201c, \u201eResize\u201c, \u201eBackups\u201c, \u201eSnaphots\u201c und \u201eHistory\u201c auf der VM-Management-Seite sichtbar, obwohl sich diese Funktionen derzeit noch auf der Roadmap befinden. Abgesehen davon arbeitet Enclaive derzeit an einer Funktion namens \u201eConsole\u201c, die es erm\u00f6glichen soll, das CLI der VM direkt \u00fcber den Browser zu nutzen.<\/p>\n\n\n\n

Fazit<\/strong><\/a><\/p>\n\n\n\n

Die L\u00f6sung von Enclaive l\u00e4sst sich dank ihres im Wesentlichen \u00fcbersichtlichen Web-Interfaces leicht in Betrieb nehmen und administrieren. Die wichtigsten Features zum Betrieb eines solchen Produkts wurden bereits umgesetzt und die Arbeit mit der L\u00f6sung im laufenden Betrieb l\u00e4uft vollkommen problemlos ab. Einige Funktionen befinden sich derzeit noch in der Entwicklung und werden das Produkt in Zukunft noch interessanter machen. Administratoren, die verschl\u00fcsselte Cloud-Angebote nutzen wollen oder m\u00fcssen, sollten auf jeden Fall einen Blick auf Enclaive werfen. Das gilt vor allem im Zusammenhang mit der derzeit immer st\u00e4rker wachsenden Bedeutung von digital souver\u00e4nen Installationen, die Daten vor au\u00dfereurop\u00e4ischen Zugriffen sch\u00fctzen.<\/p>\n\n\n\n

Bildergalerie zum Test:<\/p>\n\n\n\n

\n
\"\"
Das Enclaive Web-Interface nach dem ersten Login (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Das Anlegen einer VM (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Die VMs k\u00f6nnen \u00fcber das Web-Interface jederzeit ein- und ausgeschaltet werden (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Credentials im vHSM (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Der Status der virtuellen Disk (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Der \u00dcberblick \u00fcber die Firewall-Regeln (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Die VM im laufenden Betrieb (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Die Zugangsdaten lassen sich bei Bedarf direkt aus dem Web-Interface herauskopieren (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Das Web-Interface bietet auch die Option, Zertifikate herunterzuladen (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Die Firmware-\u00dcbersicht (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n
\"\"
Der auf unserer VM eingerichtete Web-Server (Screenshot: Dr. G\u00f6tz G\u00fcttich)<\/figcaption><\/figure>\n<\/figure>\n\n\n\n

Direkter Link zu Enclaive: Die Macht vertraulichen Cloud-Computings f\u00fcr Ihr Unternehmen<\/a><\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Multi Cloud Platform von Enclaive soll Daten und Workloads vor unbefugten Zugriffen sch\u00fctzen und so den Weg zur digitalen Souver\u00e4nit\u00e4t \u00f6ffnen. Dazu verschl\u00fcsselt die L\u00f6sung die Informationen der Anwender nicht nur w\u00e4hrend der \u00dcbertragung und Speicherung, sondern auch w\u00e4hrend der Verarbeitung (at rest, in motion and in use). Das System arbeitet mit virtuellen Hardware-Security-Modulen (vHSM).<\/p>\n","protected":false},"author":1,"featured_media":30719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[21489,9408,24396,24400,24397,17846,24398,20447],"class_list":["post-30706","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-digitalesouveraenitaet","tag-dsgvo","tag-enclaive","tag-goetzguettich","tag-multicloudplatform","tag-nis2","tag-privaceshield20","tag-twinsoft"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=30706"}],"version-history":[{"count":5,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30706\/revisions"}],"predecessor-version":[{"id":30769,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/30706\/revisions\/30769"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/30719"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=30706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=30706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=30706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}