AWS Nitro Enclaves
تُمكّن AWS Nitro Enclaves العملاء من خلق بيئات حوسبة معزولة، من أجل توفير المزيد من الحماية والمعالجة الآمنة للبيانات شديدة الأهمية، مثل معلومات تعريف الشخصية (PII)، وبيانات الرعاية الصحية والمالية، وبيانات حقوق الملكية الفكرية الواردة ضمن مثيلات Amazon EC2. ويستخدم نظام Nitro Enclaves تقنية Nitro Hypervisor نفسها، والتي توفر العزل لوحدات المعالجة المركزية (CPU) والذاكرة لدى مثيلات EC2.
إن Nitro Enclaves تُساعد العملاء على الحدّ من منطقة سطح الهجمات بمعظم تطبيقاتهم المُخصّصة لمعالجة البيانات الأكثر أهمية. وتوفر Enclaves بيئة معزولة وضيقة وشديدة التقييد، قادرة على استضافة التطبيقات الحساسة للأمان. كما تتضمّن Nitro Enclaves شهادة إثبات تشفير لبرامجك، بحيث يمكن أن تتأكّد من أنه لا يوجد رمز غير الرمز المعتمد قيد التشغيل، فضلاً عن أنه تم الدمج بينها وAWS Key Management Service حتى تتمكن الجيوب الأمنية لديك فقط من الوصول إلى المواد الحساسة.
لا توجد رسوم إضافية على استخدام AWS Nitro Enclaves بخلاف استخدام مثيلات Amazon EC2 وأي خدمات AWS أخرى تُستخدم من خلال Nitro Enclaves.
المزايا
المزيد من العزل والأمان
الجيوب الأمنية هي أجهزة افتراضية معزولة تمامًا ومعززة وشديدة التقييد. ولا تحتوي على تخزين ثابت ولا وصول تفاعلي ولا شبكات خارجية. ويتم الاتصال بين المثيل والجيب الأمني عبر استخدام قناة محلية آمنة. حتى أنه المستخدم الجذر والمستخدم المسؤول لن يتمكنا من الوصول إلى الجيب الأمني أو يستخدم SSH للوصول إليه.
تستخدم Nitro Enclaves العزل المثبت من Nitro Hypervisor لزيادة عزل وحدة المعالجة المركزية (CPU) والذاكرة للجيب عن المستخدمين والتطبيقات والمكتبات على المثيل الأصلي. تساعد هذه المزايا على عزل الجيوب الأمنية وبرامجك، كما تحدّ من منطقة سطح الهجمات بشكلٍ كبير.
إثبات التشفير
يتيح لك الإثبات إمكانية التحقق من هوية الجيب الأمني وعدم وجود رمز قيد التشغيل في الجيب الأمني باستثناء الرمز المعتمد. تجري عملية الإثبات من خلال Nitro Hypervisor، وهو يقوم بإعداد وثيقة إثبات للجيب الأمني موّقع عليها، من أجل إثبات هوية هذا الجيب أمام جهة أو خدمة أخرى. تحتوي وثائق الإثبات على تفاصيل مهمة للجيب الأمني، مثل المفتاح العام للجيب، وتجزئات من صورة وتطبيقات الجيب، وغير ذلك المزيد. تشمل Nitro Enclaves التكامل بين AWS وKMS، حيث يتمكّن KMS من قراءة وثائق الإثبات التي يرسلها الجيب الأمني والتحقق من صحتها.
مرنة
تتميز Nitro Enclaves بالمرونة. بإمكانك إنشاء الجيوب الأمنية باستخدام مجموعات متنوعة من مراكز وحدات المعالجة المركزية (CPU) والذاكرة. وهذا يضمن لك وجود الموارد الكافية التي تتيح لك تشغيل الذاكرة نفسها أو حساب التطبيقات المركّزة التي كنت تشغلها بالفعل على مثيلات EC2 الحالية. Nitro Enclaves غير مقيدة بمعالج محدد، ويمكن استخدامها عبر مثيلات مشغّلة بواسطة موردي وحدات معالجة مركزية مختلفين. كما أنها متوافقة مع أي لغة برمجة أو إطار عمل. وعلاوة على ذلك، ونظرًا لأن العديد من مكونات Nitro Enclaves مفتوحة المصدر، يستطيع العميل فحص التعليمات البرمجية والتحقق منها بنفسه.
طريقة العمل
الشكل 1: كيف تشغِّل Nitro Enclaves تدفق العمليات
الشكل 2: تستخدم Nitro Enclaves تقنية Nitro Hypervisor ذاتها التي تقوم بعزل وحدة المعالجة المركزية والذاكرة بين مثيلات EC2، لإجراء عزل بين Enclave ومثيل EC2.
الشكل 3: يتم إنشاء جيب أمني من خلال تجزئة وحدة المعالجة المركزية والذاكرة لمثيل EC2، يطلق عليه المثيل الأصلي. بإمكانك إنشاء الجيوب الأمنية باستخدام مجموعات متنوعة من مراكز وحدات المعالجة المركزية (CPU) والذاكرة. يوجد أعلاه مثال لاستخدام تقسيم m5.4xlarge إلى مثيل أصلي (14 وحدة معالجة مركزية افتراضية، ذاكرة 32 جيبي بايت) وجيب أمني (2 وحدة معالجة مركزية افتراضية، ذاكرة 32 جيبي بايت). يتم الاتصال بين المثيل الأصلي والجيب الأمني من خلال اتصال محلي آمن يطلق عليه vsock.
حالات الاستخدام
تأمين المفاتيح الخاصة
يستطيع العملاء الآن عزل مفاتيح خاصة واستخدامها (مثل SSL/TLS) في جيب أمني، مع منع المستخدمين والتطبيقات والمكتبات الموجودة على المثيل الأصلي من عرض هذه المفاتيح. يتم تخزين هذه المفاتيح الخاصة في العادة على مثيل EC2 في نص عادي.
AWS Certificate Manager (ACM) for Nitro Enclaves تطبيق جيب أمني يسمح لك باستخدام شهادات SSL/TLS عامة وخاصة من خلال تطبيقات الويب والخوادم الخاصة بك التي تعمل على مثيلات Amazon EC2 عبر AWS Nitro Enclaves.
استخدام الرموز المميزة
استخدام الرموز المميزة (Tokenization) هو عملية لتحويل البيانات شديدة الحساسية مثل أرقام بطاقات الائتمان أو بيانات الرعاية الصحية إلى رمز مميز. باستخدام Nitro Enclaves، يستطيع العملاء تشغيل التطبيق الذي يجري هذا التحويل داخل جيب أمني. يمكن إرسال البيانات المُشفرة إلى الجيب الأمني، حيث يتم فك تشفيرها ثم معالجتها. لن يتمكن مثيل EC2 الأصلي من عرض البيانات الحساسة أو الوصول إليها طوال هذه العملية.
الحوسبة متعددة الأطراف
باستخدام إمكانيات إثبات التشفير الموجودة في Nitro Enclaves، يستطيع العملاء إعداد حوسبة متعددة الأطراف، حيث يمكن لعدة أطراف الانضمام ومعالجة بيانات شديدة الحساسية بدون الحاجة للإفصاح عن البيانات الفعلية أو مشاركتها مع كل طرف. كما يمكن تنفيذ الحوسبة متعددة الأطراف أيضًا داخل نفس المؤسسة لإجراء فصل بين المهام.
الموارد
- دليل مستخدم AWS Nitro Enclaves
- بدء استخدام Nitro Enclaves
- ACM for Nitro Enclaves
- AWS Nitro Enclaves CLI
- AWS Nitro Enclaves NSM API
- AWS Nitro Enclaves SDK
- مدونة: AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data
- الميزات الجديدة: Nitro Enclaves
- ما الجديد: ACM for Nitro Enclaves
قصص العملاء
"شركة ACINQ هي إحدى شركات التطوير والتشغيل الرئيسة لشبكة البرق (Lightning Network)، وهي شبكة دفع مفتوحة وعالية الأداء قائمة على البيتكوين. من خلال تشغيل عُقد الدفع لدينا داخل AWS Nitro Enclaves، تمكنا من تحقيق مستوى عالٍ من الحماية التي نحتاج إليها للمفاتيح الخاصة التي تتحكم في أموالنا بدون أي تعديلات على التعليمات البرمجية تقريبًا. تُعد القدرة على تشغيل تطبيقات معقدة وموثقة بالتشفير داخل AWS Nitro Enclaves نقطة تحول من وجهة نظر الأمان، وتمكننا من تنفيذ تدابير أمنية إضافية، مثل استخدام محافظ الأجهزة لإدارة أنظمتنا. باستخدام AWS Nitro Enclaves، نشغل واحدة من أكثر عُقد الدفع أمانًا على الشبكة، ونخطط لنقل المزيد من الخدمات إلى AWS Nitro Enclaves لتقليل مهاجمة السطح لنظامنا العام".
فابريس دروين، المؤسس المشارك والرئيس التنفيذي لشركة ACINQ
"ابتكرت Anjuna طريقةً جاهزةً للمؤسسات تهدف إلى حماية الأصول عالية القيمة عن طريق الاستفادة من AWS Nitro Enclaves. يمكن لعملائنا الآن إعداد وإدارة بيئات الحوسبة المعزولة في EC2 لمعالجة أعباء عمل السحابة وتقويتها في دقائق بدون تغيير التعليمة البرمجية للتطبيقات وبدون إعادة بناء التطبيقات. يعمل البرنامج Anjuna Confidential Computing software، المصمم على Nitro Enclaves، على تقليل سطح الهجوم لتطبيقات معالجة البيانات السرية والحساسة: معلومات التعريف الشخصية (PII)، وخوارزميات الملكية، وتطبيقات الحوسبة متعددة الأطراف (MPC)، وقواعد البيانات، وإدارة المفاتيح/المفاتيح السرية. تتيح AWS Nitro Enclaves لبرنامج Anjuna تقديم خدمة أفضل للعملاء في القطاعات عالية التنظيم مثل الخدمات المالية، والتكنولوجيا المالية، والتشفير، والحكومة، والرعاية الصحية، وموفري البرمجيات كخدمة (SaaS)."
أيال يوجيف، المدير التنفيذي والمؤسس المشارك، Anjuna Security
"تركز Cape Privacy على أمان البيانات والخصوصية فيما يتعلق بالذكاء الاصطناعي الذي يستفيد من السحابة. يُمكن للشركات استخدام واجهة برمجة التطبيقات Cape API للاستفادة من قدرات نماذج اللغات الكبيرة وفقًا لقاعدة معارف مخصصة تتضمن بياناتٍ حساسة أو بياناتٍ سرية. الغرض من تصميم الواجهة Cape API هو توفير الخصوصية لبيانات العملاء بدون المساس بقيمة استخدام نموذج لغة كبيرة. يمكن للعملاء الذين يستخدمون نماذج Cape على Amazon EC2 أن يثقوا في الطريقة التي تستخدمها Cape Privacy في حماية بياناتهم الحساسة لأنهم يستخدمون AWS Nitro Enclaves وAWS Nitro System مع العديد من تقنيات معالجة البيانات التي تحافظ على الخصوصية لضمان عدم تمكن أي شخص من رؤية بياناتك."
تشي ويجيسينغي، المدير التنفيذي لشركة Cape Privacy
"إن وجود بنية أساسية آمنة وموثوقة خاصة بأدوات التحقق لهو أمر بالغ الأهمية لشبكات العملات المشفرة المستدامة (مثل Crypto.org Chain). وعلى وجه التحديد، يُعد توقيع رسائل البروتوكول التوافقية من الجوانب الرئيسية التي يجب تأمينها وتقويتها. وضمن البنية الأساسية السحابية لدينا، يسهّل AWS Nitro Enclaves وAWS KMS على Crypto.com وعلى شركائنا الخارجيين توسيع نطاق عمليات التوقيع هذه ونشرها وإدارتها. يوفر AWS Nitro Enclaves التقوية والعزل بتكلفة ميسورة لإدارة المفاتيح الآمنة."
توماس توبر، قائد سلاسل في Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
بصفتها منصة لإدارة كلمات المرور، تتولى Dashlane مسؤولية تأمين بعض البيانات الأكثر أهميةً وحساسيةً بالنسبة للمؤسسات. باستخدام AWS Nitro Enclaves، يمكن لعملائنا تقليل وقت إعداد التكامل إلى النصف، وفي الوقت نفسه ضمان أعلى مستوى من الأمان. تقدم AWS Nitro Enclaves طريقةً مبتكرةً لعزل مفاتيح التشفير عزلًا تامًا، ما يسمح للمؤسسات بالثقة في أن تكون بياناتها متمتعةً بالخصوصية والحماية، وأنه لا يمكن لأي أطراف غير مصرح لها ومن بينها Dashlane الاطلاع على المفاتيح أو الوصول إليه."
فريدريك ريفاين، كبير مسؤولي التكنولوجيا في شركة Dashlane
"تُعد حماية ومعالجة المعلومات شديدة الحساسية مثل البيانات المالية والرعاية الصحية والهوية والبيانات الخاصة من بين حالات الاستخدام الرئيسية للبنية الأساسية للتشفير في Evervault. في قلب Evervault، يوجد محرك التشفير Evervault Encryption Engine (E3)، وهو المحرك الذي ينفذ جميع عمليات التشفير ويتعامل مع مفاتيح التشفير لعملائنا. إن المحرك E3 المبني على AWS Nitro Enclaves يوفر بيئة حوسبة معزولةً وقويةً وشديدة القيود لمعالجة البيانات الحساسة. إن بناء المحرك E3 على Nitro Enclaves يعني أنه يمكننا توفير الأمان من خلال إثبات التشفير، وتوفير أساس قوي لجميع منتجات وخدمات Evervault الأخرى. بدون أي تكلفة إضافية، يمكّننا Nitro Enclaves من تقديم خدمة آمنة جدًا وفعالة من حيث التكلفة وقابلة للتوسعة لعملائنا؛ خدمة قادرة على معالجة الآلاف من عمليات التشفير في الثانية."
شين كوران، المؤسس والرئيس التنفيذي بشركة Evervault
"تتمثل مهمة Footprint في إعادة الثقة إلى الإنترنت، بالإضافة إلى أولويتنا الأولى وهي التأكد من أننا نستخدم بنية التخزين الأكثر تطورًا وقوة لتخزين وتشفير البيانات المالية والشخصية الحساسة ومعالجتها لعملائنا ومستخدميهم. وفي سبيل تحقيق ذلك، فقد صممنا وأنشأنا البنية التحتية الأساسية للتخزين في Footprint فوق AWS Nitro Enclaves نظرًا للأمان العالمي الذي توفره: القدرة على تشغيل رمز مُوقَّع وموثق بالتشفير في وحدة المعالجة المركزية والذاكرة وبيئة الشبكة المعزولة من أجل تقليل مساحة مهاجمة السطح بشكل كبير وتزويد عملائنا بأساس أمني يفوق بكثير الأساليب العادية التي تستخدمها الشركات اليوم."
Alex Grinman، المؤسس المشارك والمدير الفني (Co-founder & CTO) لشركة Footprint
«Itaú Digital Assets هي وحدة أعمال Itaú Unibanco المسؤولة عن تطوير الحلول باستخدام تقنية blockchain. وفي هذا السياق، ساعدتنا Nitro Envices في خلق بيئة آمنة للتلاعب بمفاتيح التشفير لخدمات حفظ الأصول المشفرة الخاصة بنا، مما أضاف طبقة أخرى من الحماية لمعالجة البيانات مع تقليل سطح الهجوم في نفس الوقت. كان هذا المستوى العالي من الحماية عاملاً رئيسيًا سمح بتنفيذ الحلول المعقدة المرتبطة بالتميز في الأمن، وهو أحد الركائز الأساسية لمؤسستنا.»
Carlos Eduardo Mazzei، كبير مسؤولي التكنولوجيا (Chief Technology Officer) في Itaú Unibanco
"تقوم M10 Networks, Inc بتطوير منصتها M10 Ledger Platform ونشرها، وهذه المنصة هي خدمة لتطوير وتوزيع العملات الرقمية بالبنوك المركزية والالتزامات المنظمة ذات الرموز المميزة، على AWS. تقوم المنصة Ledger Platform باستخدام AWS Nitro Enclaves في التحقق من صحة التوقيع وإعادة التوقيع التشفيري لدُفعات من المعاملات. باستخدام AWS Nitro Enclaves على أحدث مثيلات M6i من AWS، تستطيع M10 تقديم حل فعال وميسور التكلفة لسوق العملات الرقمية."
Sascha Wise, M10 Founding Engineer
«تساعد Okta، إحدى شركات الهوية كخدمة (IDAaS)، على ربط أي شخص بأي تطبيق على أي جهاز. توفر Okta خدمة إدارة الهوية على مستوى المؤسسات للعملاء في السحابة أو الذين يستخدمون التطبيقات المحلية. يساعد حل إدارة الوصول المميز (PAM) من Okta المؤسسات على إدارة المخاطر من خلال جلب إمكانات PAM المهمة إلى حل إدارة الهوية والوصول الأساسي، بما في ذلك إدارة الوصول المتميز وقبو بيانات الاعتماد وإعداد تقارير الامتثال. Okta تستخدم Nitro Enclaves لإدارة بيانات اعتماد البنية التحتية للعملاء وتخزينها بأمان في حل Okta PAM الخاص بهم. يعمل حل PAM من Okta على الاستفادة من مساعدة Nitro Enclaves في إدارة بيانات اعتماد العملاء في بيئة تم فحصها ومعتمدة بالتشفير. باستخدام AWS Nitro Enclaves، تحمي Okta العملاء من الهجمات كجزء من بنيتنا الدفاعية المتعمقة. تتطلع Okta إلى توسيع قدرات Okta Privileged Access فوق Nitro Enclaves مع الاستمرار في بناء أساس آمن لحماية الوصول إلى النظام البيئي للعملاء.»
Smitha Prasad، Director of Engineering، شركة Okta