rapidsolutions
EnglishEN DeutschDE FrançaisFR EspañolES NederlandsNL ItalianoIT
Plan een gesprek
Plan een gesprek
ENDEFRESNLIT
June 2, 2026

Confidential computing en microVM's: hardware-geïsoleerde, soevereine workloads

confidential computingmicroVMsdatasoevereiniteitAVGKubernetes-beveiligingconfidential AItrusted execution environmentsopen sourceEU-dataresidentiecloud native

Het grootste deel van de geschiedenis van de informatica werd data in twee toestanden beschermd: in rust, met schijfversleuteling, en onderweg, met TLS. De derde toestand, data tijdens gebruik, lag als platte tekst in het geheugen op het moment dat een CPU haar aanraakte. Iedereen met controle over de host, de hypervisor of fysieke toegang tot de machine kon haar lezen. Voor gereguleerde en soevereine workloads in Europa is dat gat het hele probleem.

Confidential computing dicht het. Gecombineerd met moderne isolatieprimitieven zoals microVM’s verandert het wat je geloofwaardig kunt beloven over een workload: dat de beheerder van de infrastructuur de data niet kan lezen, dat je dat cryptografisch kunt bewijzen, en dat het geheel onder EU-recht op EU-bodem draait. Deze post behandelt beide helften van dat verhaal, de standaarden en hardware eronder, en een eerlijke inschatting van waar de technologie in 2026 daadwerkelijk staat.

Wat confidential computing is

Confidential computing beschermt data terwijl ze wordt verwerkt door haar uit te voeren binnen een hardwaregebaseerde Trusted Execution Environment (TEE). De TEE versleutelt het geheugen transparant en isoleert de workload van alles erbuiten, inclusief het host-besturingssysteem, de hypervisor, andere tenants en het eigen personeel van de cloudbeheerder. Dit is versleuteling-tijdens-gebruik, de ontbrekende derde toestand.

Het praktische gevolg telt zwaarder dan het mechanisme. In een correct geattesteerde TEE kan de entiteit die de hardware beheert je platte tekst niet zien. Een hostingprovider, een hyperscaler of een intern platformteam wordt technisch onmachtig om te lezen wat binnen de enclave draait, niet alleen contractueel verboden. Voor workloads waarbij het dreigingsmodel de beheerder omvat, of waarbij een buitenlandse jurisdictie die beheerder zou kunnen dwingen, is dit een categorische verschuiving.

Waarom het ertoe doet voor soevereiniteit en de AVG

Datasoevereiniteit en dataresidentie zijn verschillende dingen. Residentie is waar bytes fysiek leven. Soevereiniteit is welke wetten ze beheersen en wie rechtmatig toegang kan afdwingen. EU-dataresidentie alleen weerhoudt een niet-EU-moederbedrijf er niet van onderworpen te zijn aan extraterritoriale juridische eisen.

Confidential computing versterkt het soevereiniteitsargument op de technische laag. Wanneer data binnen een TEE wordt verwerkt en de decryptiesleutels pas worden vrijgegeven na attestatie aan sleutels die buiten de controle van de beheerder worden bewaard, kan de beheerder geen leesbare platte tekst produceren, ongeacht de juridische eis die hem wordt betekend. Wees precies over de regelgevingsstatus: geen enkele EU-gegevensbeschermingsautoriteit heeft confidential computing tot dusver gezegend als een op zichzelf staande aanvullende maatregel onder artikel 46(2) van de AVG. Behandel het als sterke verdediging-in-de-diepte die een Transfer Impact Assessment wezenlijk verbetert, niet als een wondermiddel voor compliance. De eerlijke framing is de geloofwaardige.

De hardware: SEV-SNP, TDX, CCA

Drie CPU-leveranciers leveren vandaag de dag confidential computing op VM-niveau, elk een hele virtuele machine beschermend in plaats van je te vragen applicaties te herschrijven voor een kleine enclave:

  • AMD SEV-SNP (Secure Encrypted Virtualization with Secure Nested Paging) versleutelt VM-geheugen per gast en voegt integriteitsbescherming toe, zodat een kwaadaardige hypervisor het gastgeheugen niet kan herindelen, opnieuw afspelen of manipuleren. Breed beschikbaar over serverplatforms heen.
  • Intel TDX (Trust Domain Extensions) creëert hardware-geïsoleerde “trust domains” met versleuteld geheugen en hypervisor-isolatie, plus ingebouwde remote attestation. Wordt geleverd op recente Xeon-generaties.
  • ARM CCA (Confidential Compute Architecture) introduceert “Realms”, hardware-geïsoleerde omgevingen voor code en data. Het is de nieuwste van de drie en richt zich pal op de edge en het ecosysteem van ARM-servers, hoewel brede beschikbaarheid nog achterloopt op x86.

Het oudere enclavemodel, Intel SGX, beschermt een klein stukje van een applicatie in plaats van een hele VM. Het blijft relevant voor strikt afgebakende geheimen, maar is lastiger te adopteren dan de bovenstaande aanpakken op VM-niveau. De juiste keuze hangt af van je silicium, je cloud- of hardwarepartner en je workload, wat precies het soort beslissing is dat een leveranciersneutrale consultancy mét jou zou moeten maken in plaats van vóór een product.

Attestatie is het dragende deel

Een TEE is alleen nuttig als je kunt bewijzen dat een workload binnen een echte, ongewijzigde TEE draait voordat je haar geheimen toevertrouwt. Dat bewijs is remote attestation, en het is het onderdeel dat de meeste teams onderschatten.

Het leveranciersneutrale denkmodel komt uit de IETF RATS-architectuur (RFC 9334), die drie rollen benoemt: de Attester produceert ondertekend bewijs over zijn omgeving, de Verifier toetst dat bewijs aan bekende-goede referentiewaarden, en de Relying Party geeft sleutels of data alleen vrij bij een geslaagd resultaat. In de praktijk ziet de flow er zo uit: de TEE genereert hardware-ondertekend bewijs, een verifier bevestigt de firmware en metingen, en pas dan geeft een key broker de geheimen vrij die nodig zijn om data te ontsleutelen of een model op te halen. Geen geldige attestatie, geen sleutels.

De open-source softwarestack

Confidentiële hardware heeft software nodig om bruikbaar te zijn in cloud-native omgevingen. Het toonaangevende open-source-initiatief is Confidential Containers (CoCo), een CNCF-project dat elke Kubernetes-pod binnen zijn eigen TEE draait en confidential computing standaardiseert op podniveau. CoCo overspant de belangrijkste hardware-backends (SEV-SNP, TDX, SGX, IBM Secure Execution) en wordt gecombineerd met het Trustee-project voor attestatie, inclusief een Key Broker Service die het vrijgeven van geheimen koppelt aan een geslaagde attestatie. CoCo bouwt voort op Kata Containers, hieronder behandeld, voor zijn VM-geïsoleerde runtime. Andere open implementaties bestaan in dezelfde ruimte, en de kracht van het ecosysteem is dat de patronen voor attestatie en sleutelvrijgave convergeren op gedeelde standaarden in plaats van op de API van één leverancier.

MicroVM’s en veilige isolatie

Confidential computing beantwoordt “kan de beheerder dit lezen”. MicroVM’s beantwoorden een verwante maar aparte vraag: “als één workload wordt gecompromitteerd, kan die dan bij de andere komen”. Deze zijn complementair, niet uitwisselbaar.

De standaard Linux-container deelt de host-kernel. Eén kernel-escape, zoals CVE-2024-21626 in runc, en de straal van de schade is het hele node. Voor werkelijk multi-tenant of niet-vertrouwde code is een gedeelde kernel een te dunne muur. De alternatieven:

  • Firecracker is een minimale VMM geschreven in Rust, speciaal gebouwd voor serverless. Hij boot een microVM in ongeveer 125 ms met een footprint van enkele MB per VM, door het apparaatmodel terug te brengen tot de essentie. Hij drijft beroemd AWS Lambda en Fargate aan.
  • Cloud Hypervisor is een andere moderne Rust-VMM, met een rijker apparaatmodel dan Firecracker en brede hardware-ondersteuning. Het is de standaard-backend voor Kata Containers.
  • Kata Containers laat isolatie op VM-niveau aanvoelen als containers: elke pod draait in een lichtgewicht VM achter een standaard OCI/Kubernetes-interface. Het ondersteunt Cloud Hypervisor, Firecracker en QEMU als backends, zodat je de afweging tussen isolatie en compatibiliteit kunt afstemmen.
  • gVisor kiest een andere weg, een kernel in user-space die syscalls onderschept. Geen volledige VM, lagere overhead dan virtualisatie, sterke isolatie voor veel multi-tenant-gevallen, met enkele compatibiliteitsbeperkingen voor syscall-intensieve workloads.

Waar elk past

Stem het gereedschap af op de workload, niet op de hype:

  • Multi-tenant SaaS en gedeelde Kubernetes: Kata Containers of gVisor om tenants achter een harde grens in te dammen.
  • Snel bootende sandboxes en serverless functions: Firecracker, waar sub-seconde cold starts en dichtheid domineren.
  • Veilige CI en uitvoering van niet-vertrouwde code: microVM’s om willekeurige builds of klantcode uit te voeren zonder ze te vertrouwen.
  • Isolatie van AI-inference: een toegewijde VM-grens per model of per tenant, zodat een gecompromitteerd inference-pad niet kan doorpivoten.

De twee lagen stapelen. Je kunt een Kata- of CoCo-pod draaien waarvan de onderliggende VM zelf een confidential VM op SEV-SNP of TDX is, waarmee je zowel beheerdersblindheid als tenant-isolatie uit één deployment haalt.

Confidentiële AI-inference

De snelst groeiende drijfveer is AI. Het sturen van prompts, opgehaalde documenten of fine-tuning-data naar een LLM betekent dat je een deel van je meest gevoelige materiaal blootstelt aan wie de inference ook draait. Confidential AI verkleint die blootstelling.

De NVIDIA H100 was de eerste GPU met een hardware-TEE: in confidential mode beschermt hij code en data op de GPU met versleuteld VRAM en een on-die root of trust, en hij wordt gecombineerd met een confidential CPU-VM (SEV-SNP of TDX) zodat data van begin tot eind versleuteld blijft over CPU en GPU heen. Attestatie strekt zich uit tot de GPU, zodat een relying party zowel de CPU- als de GPU-omgeving kan verifiëren voordat modelgewichten of data worden vrijgegeven. De gepubliceerde overhead is bescheiden, in de orde van enkele procenten throughput voor veel LLM-inference-workloads, plus eenmalige attestatiekosten bij het opstarten. Het resultaat: prompts en uitvoer blijven privé, zelfs voor de host, en de uitvoering is cryptografisch verifieerbaar. Voor Europese organisaties die moderne AI willen zonder gereguleerde data naar een ondoorzichtige omgeving te sturen, is dit de brug.

Eerlijke volwassenheid en afwegingen

Dit is krachtig, maar het is niet gratis of af:

  • De volwassenheid verschilt sterk. SEV-SNP en TDX zijn productieklaar; ARM CCA en delen van het GPU-TEE-ecosysteem zijn vroeger in hun ontwikkeling. Tooling, met name het leidingwerk rond attestatie, rijpt nog.
  • Attestatie is operationeel werk. Verifiers, referentiewaarden en key brokers zijn het lastige deel, en jij bezit ze of je partner doet dat.
  • Performance-overhead is reëel maar meestal klein. Reken op enkele procenten, meer voor geheugen-gebonden of I/O-zware patronen, en benchmark je eigen workload.
  • Het is geen vinkje voor compliance. Het versterkt een AVG- en soevereiniteitshouding; het vervangt geen juridische toetsing, sleutelbeheer en een gedegen algehele architectuur.
  • Vertrouwensgrenzen verschuiven, ze verdwijnen niet. Je vertrouwt nog steeds op de root of trust van de siliciumleverancier en op je eigen verificatielogica. Weet wat er in je trusted computing base zit.

FAQ

Vervangt confidential computing versleuteling in rust en onderweg? Nee. Het voegt de derde toestand toe, tijdens gebruik, en werkt naast de andere twee.

Kan de cloudbeheerder mijn data binnen een TEE nog steeds lezen? Met correcte attestatie en externe sleutelcontrole, nee. De beheerder kan geen leesbare platte tekst produceren, wat het kernvoordeel voor soevereiniteit is.

Heb ik confidentiële hardware nodig om microVM’s te gebruiken? Nee. Firecracker, Cloud Hypervisor, Kata en gVisor bieden sterke isolatie op standaardhardware. Confidential computing is een aparte laag die je er bovenop kunt toevoegen.

Is dit out of the box AVG-conform? Het versterkt compliance en Transfer Impact Assessments als verdediging-in-de-diepte, maar geen EU-gegevensbeschermingsautoriteit heeft het bevestigd als een op zichzelf staande aanvullende maatregel. Behandel het als één sterke controle onder meerdere.

Op welke CPU moet ik standaardiseren? Dat hangt af van je stack, partners en workload. Wij beoordelen SEV-SNP, TDX en CCA tegen je werkelijke eisen in plaats van één optie te pushen.

Waar Rapid Solutions past

Wij zijn een leveranciersneutrale engineering-consultancy en managed-services-partner, geen cloudprovider. We ontwerpen en beheren confidentiële, hardware-geïsoleerde workloads op open-source-fundamenten, met EU-dataresidentie en soevereiniteit ingebouwd, en we passen ons aan op de stack die je al hebt in plaats van je in de onze vast te zetten. Of je nu SEV-SNP versus TDX evalueert, Confidential Containers met correcte attestatie opzet, multi-tenant-workloads isoleert met Kata of Firecracker, of confidentiële AI-inference draait, wij helpen je het correct te doen en te bewijzen dat het werkt.

Praat met ons over je soevereine workloads.

← All articles