Dualidad: Despliegue de la plataforma de cifrado homomórfica en Oracle Cloud Infrastructure
Duality ejecuta la plataforma de cifrado homomórfica SecurePlus en Oracle Cloud Infrastructure (OCI), lo que permite una colaboración segura y protegida por la privacidad entre las compañías de servicios financieros y otras instituciones, a la vez que protege los datos confidenciales y cumple con las normativas de privacidad globales.
La plataforma de Duality cifra, anonimiza y analiza los datos sin descifrarlos nunca. Independientemente de que los datos estén en tránsito, en computación, en uso o incluso en reposo, se cifran, incluso cuando diferentes compañías colaboran y procesan los mismos datos simultáneamente.
Sin embargo, ejecutar su plataforma en servidores locales dentro de sus centros de datos de clientes planteaba problemas de escalabilidad para sus clientes, lo que pedía a Duality que se trasladara a la nube. Desde la migración a Oracle Cloud Infrastructure, Duality ha ayudado a sus clientes a ampliar sus cálculos, a agregar más datos de más fuentes y a reducir sus costos de hardware, energía y mano de obra.
Arquitectura
Para facilitar la colaboración entre las partes que se encuentran en varias geografías y que no confían completamente entre sí, normalmente es necesario que al menos parte de los componentes o roles lógicos de la aplicación se ubique en una ubicación externa fuera del sitio de las partes colaboradoras.
Para ejecutar la plataforma de cifrado homomórfica SecurePlus en Oracle Cloud Infrastructure, Duality utiliza servicios de API de Oracle, servidores con hardware dedicado y máquinas virtuales. En las instancias informáticas con hardware dedicado, Duality ejecuta las CPU de Intel Ice Lake para ayudar a procesar conjuntos de instrucciones vectorizados, que admiten los cálculos de cifrado homomórfico que requieren muchos recursos de Duality. Para cálculos que no requieren aceleración de alta velocidad, Duality ejecuta esas cargas de trabajo en las máquinas virtuales de Oracle Cloud Infrastructure Compute E4, con procesadores AMD EPYC de tercera generación en su lugar.
Las CPU de Intel Ice Lake por sí mismas mostraron una mejora del 50% en la duración del procesamiento en comparación con una CPU AMD EPYC equivalente que ejecuta diversos cálculos. Cuando se utilizó un paquete de optimización de FHE designado, HEXL (aceleración de cifrado homomórfico), la duración del cálculo se redujo en un 50% adicional en comparación con el rendimiento de Ice Lake sin este paquete, y un 66% en comparación con el rendimiento de CPU AMD EPYC.
La aplicación de Duality soporta una API de REST, lo que permite a los clientes integrar la aplicación de Duality en su GUI nativa o en sus sistemas heredados. Aunque la aplicación de Duality se ejecuta en MS-SQL, Oracle Database, MySQL y PostgreSQL, está añadiendo soporte continuamente para bases de datos adicionales.
Dado que Duality busca ejecutar más cargas de trabajo de aprendizaje automático y distribuirlas entre regiones geográficas, está considerando el uso de la plataforma de recursos informáticos de alto rendimiento de Oracle Cloud Infrastructure y otras regiones de Oracle Cloud para las capacidades de recuperación ante desastres.
En el siguiente diagrama de arquitectura, el entorno de Duality en Oracle Cloud Infrastructure muestra una colaboración segura entre cinco partes. Tres partes proporcionan datos cifrados, que luego son analizados por una cuarta parte. Una quinta parte conecta los sistemas de las distintas partes y aprovisiona los recursos informáticos necesarios. Una vez cifrados los datos y anonimizados los proveedores de datos, la parte de análisis puede ejecutar cálculos en un único propietario de datos o en varios propietarios de datos en agregación.
El siguiente diagrama ilustra esta arquitectura de referencia.
La arquitectura tiene los siguientes componentes:
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).
- Gestión de identidad y acceso (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) le permite controlar quién puede acceder a sus recursos en Oracle Cloud Infrastructure y las operaciones que pueden realizar en esos recursos.
- Dominio de disponibilidad
Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como alimentación o refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad es poco probable que afecte a los otros dominios de disponibilidad de la región.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no solapados que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango de direcciones contiguas que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Lista de Seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
- Tabla de ruta
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways.
- Máquina Virtual
El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts de recursos informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos para CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desconectar volúmenes y finalizarla cuando ya no sea necesario.
La dualidad configura sus máquinas virtuales con CPU AMD Epyc de tercera generación para ayudar a las empresas a analizar datos cifrados y compartir resultados descifrados. Las máquinas virtuales también son responsables de ejecutar los cálculos en los datos cifrados, enmascarar el nombre/ubicación/IP del propietario de los datos y evitar que la parte de análisis recupere datos específicos de la organización.
La unidad con hardware dedicado utiliza la CPU de Intel Ice Lake, que ha reducido la duración del cálculo en un 50% en comparación con las instancias de máquinas virtuales que ejecutan cargas de trabajo con menos uso intensivo de recursos informáticos.
- Sistema de base de datos
El sistema de base de datos permite crear, ampliar y proteger fácilmente bases de datos Oracle con precios de licencia incluida en Oracle Cloud. También puede aprovechar Oracle Cloud Infrastructure para gestionar las bases de datos Oracle en su centro de datos junto con sus bases de datos en la nube.
- API de Oracle Cloud Infrastructure
Las API de Oracle Cloud Infrastructure son API de REST típicas que utilizan solicitudes y respuestas HTTPS.
Familiarizarse con la integración y el despliegue
¿Desea mostrar lo que ha creado en Oracle Cloud Infrastructure? ¿Le preocupa compartir las lecciones aprendidas, las mejores prácticas y las arquitecturas de referencia con nuestra comunidad global de arquitectos en la nube? Permitamos que nos ayude a empezar.
- Descargar la plantilla (PPTX)
Ilustrar su propia arquitectura de referencia arrastrando y soltando los iconos en el esquema de ejemplo.
- Ver el tutorial de arquitectura
Obtenga instrucciones paso a paso sobre cómo crear una arquitectura de referencia.
- Enviar el diagrama
Enviarnos un correo electrónico con el diagrama. Nuestros arquitectos en la nube revisarán su diagrama y se pondrán en contacto con usted para hablar de su arquitectura.