Dualité : déploiement de la plate-forme de chiffrement homomorphique sur Oracle Cloud Infrastructure
Duality exécute sa plate-forme de chiffrement homomorphique SecurePlus sur Oracle Cloud Infrastructure (OCI), permettant une collaboration sécurisée et protégée pour la confidentialité entre les sociétés de services financiers et d'autres institutions, tout en protégeant les données sensibles et en respectant les réglementations internationales en matière de confidentialité.
La plate-forme de Duality chiffre, anonyme et analyse les données sans jamais les déchiffrer. Que les données soient en transit, dans le calcul, en cours d'utilisation ou même au repos, elles restent cryptées, même si différentes entreprises collaborent et traitent simultanément les mêmes données.
Toutefois, l’exécution de sa plate-forme sur des serveurs locaux au sein de ses centres de données clients pose des problèmes d’évolutivité à ses clients, ce qui incite Duality à passer au Cloud. Depuis son passage à Oracle Cloud Infrastructure, Duality aide ses clients à faire évoluer leurs calculs, à regrouper davantage de données provenant de sources supplémentaires et à réduire leurs coûts de matériel, d'énergie et de main-d'oeuvre.
Architecture
Pour faciliter la collaboration entre les parties situées dans plusieurs zones géographiques et qui ne se font pas totalement confiance, il est généralement nécessaire qu'au moins une partie des composants de l'application ou des rôles logiques soient situés dans un emplacement externe à l'extérieur du site des parties collaboratrices.
Pour exécuter sa plate-forme de cryptage homomorphique SecurePlus sur Oracle Cloud Infrastructure, Duality utilise les services d'API Oracle, les serveurs Bare Metal et les machines virtuelles. Sur les instances de calcul Bare Metal, Duality exécute les processeurs Intel Ice Lake pour aider à traiter les ensembles d’instructions vectorielles, qui prennent en charge les calculs de chiffrement homomorphique à forte intensité de ressources de Duality. Pour les calculs qui ne nécessitent pas d'accélération rapide, Duality exécute ces charges de travail sur des machines virtuelles Oracle Cloud Infrastructure Compute E4, avec des processeurs AMD EPYC de troisième génération à la place.
Les processeurs Intel Ice Lake ont par eux-mêmes montré une amélioration de 50 % de la durée de traitement par rapport à une CPU AMD EPYC équivalente exécutant divers calculs. Lors de l'utilisation d'un package d'optimisation FHE désigné, HEXL (Homomorphic Encryption Accélération), la durée de calcul a été réduite de 50 % par rapport aux performances de Ice Lake sans ce package, et de 66 % par rapport aux performances de CPU AMD EPYC.
L'application de Duality prend en charge une API REST, permettant ainsi aux clients d'intégrer l'application de Duality dans leur interface utilisateur graphique native et/ou leurs systèmes hérités. Bien que l'application de Duality s'exécute sur MS-SQL, Oracle Database, MySQL et PostgreSQL, elle ajoute en permanence la prise en charge de bases de données supplémentaires.
Alors que Duality cherche à exécuter davantage de charges de travail d'apprentissage automatique et à les répartir entre les régions géographiques, il envisage d'utiliser la plate-forme de calcul hautes performances Oracle Cloud Infrastructure et d'autres régions Oracle Cloud pour les fonctionnalités de récupération après sinistre.
Dans le diagramme d'architecture ci-dessous, l'environnement de Duality sur Oracle Cloud Infrastructure présente une collaboration sécurisée entre cinq parties. Trois parties fournissent des données chiffrées, qui sont ensuite analysées par une quatrième partie. Une cinquième partie relie les systèmes des différentes parties et provisionne les ressources de calcul nécessaires. Une fois les données cryptées et les fournisseurs de données anonymisés, la partie chargée de l'analyse peut exécuter des calculs sur un seul propriétaire de données ou sur plusieurs propriétaires de données agrégés.
Le diagramme suivant illustre cette architecture de référence.
L'architecture comporte les composants suivants :
- Région
Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).
- Gestion des identités et des accès (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) vous permet de contrôler les droits d'accès à vos ressources dans Oracle Cloud Infrastructure et les opérations qu'ils peuvent effectuer sur ces ressources.
- Domaine de disponibilité
Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement ou le réseau interne du domaine de disponibilité. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.
- Réseau cloud virtuel (VCN) et sous-réseaux
Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux cloud virtuels traditionnels, vous bénéficiez d'un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- Liste de sécurité
Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés en entrée et en sortie du sous-réseau.
- Table de routage
Les tables de routage virtuel contiennent des règles permettant d'acheminer le trafic des sous-réseaux vers des destinations situées en dehors d'un VCN, généralement via des passerelles.
- Machine virtuelle
Le service Oracle Cloud Infrastructure Compute vous permet de provisionner et de gérer des hôtes de calcul dans le cloud. Vous pouvez lancer des instances de calcul avec des formes qui répondent à vos besoins en ressources pour l'UC, la mémoire, la bande passante réseau et le stockage. Après avoir créé une instance de calcul, vous pouvez y accéder en toute sécurité, le redémarrer, attacher et détacher des volumes, et l'arrêter lorsque vous n'en avez plus besoin.
Duality a configuré ses machines virtuelles avec des CPU AMD Epyc de troisième génération pour aider les entreprises à analyser des données chiffrées et à partager des résultats déchiffrés. Les machines virtuelles sont également chargées d'exécuter les calculs sur les données cryptées, de masquer le nom/l'emplacement/l'adresse IP du propriétaire des données et d'empêcher la partie chargée de l'analyse d'extraire les données propres à l'organisation.
La forme Bare Metal utilise la CPU d'Intel Ice Lake, qui a réduit de 50 % la durée du calcul par rapport aux instances de machine virtuelle exécutant des charges de travail moins gourmandes en calcul.
- Système de base de données
Le système de base de données vous permet de créer, de redimensionner et de sécuriser facilement des bases de données Oracle avec la tarification avec licence incluse dans Oracle Cloud. Vous pouvez également utiliser Oracle Cloud Infrastructure pour gérer les bases de données Oracle dans votre centre de données avec vos bases de données cloud.
- API Oracle Cloud Infrastructure
Les API Oracle Cloud Infrastructure sont des API REST standard qui utilisent des demandes et des réponses HTTPS.
Présentation intégrée et déployée
Voulez-vous afficher ce que vous avez créé sur Oracle Cloud Infrastructure ? Vous souhaitez partager vos leçons apprises, vos meilleures pratiques et vos architectures de référence avec notre communauté internationale d'architectes cloud ? Laissez-vous guider par la mise en route.
- Télécharger le modèle (PPTX)
Illustrez votre propre architecture de référence en faisant glisser les icônes dans l'exemple de filaire.
- Regarder le tutoriel sur l'architecture
Obtenez des instructions pas à pas sur la création d'une architecture de référence.
- Soumettre votre diagramme
Envoyez-nous un courriel avec votre diagramme. Nos architectes cloud passeront en revue votre diagramme et vous contacteront pour discuter de votre architecture.