AWS Nitro Enclaves

حقّق المزيد من العزل لزيادة حماية البيانات شديدة الأهمية ضمن مثيلات EC2

تُمكّن AWS Nitro Enclaves العملاء من خلق بيئات حوسبة معزولة، من أجل توفير المزيد من الحماية والمعالجة الآمنة للبيانات شديدة الأهمية، مثل معلومات تعريف الشخصية (PII)، وبيانات الرعاية الصحية والمالية، وبيانات حقوق الملكية الفكرية الواردة ضمن مثيلات Amazon EC2. ويستخدم نظام Nitro Enclaves تقنية Nitro Hypervisor نفسها، والتي توفر العزل لوحدات المعالجة المركزية (CPU) والذاكرة لدى مثيلات EC2.

إن Nitro Enclaves تُساعد العملاء على الحدّ من منطقة سطح الهجمات بمعظم تطبيقاتهم المُخصّصة لمعالجة البيانات الأكثر أهمية. وتوفر Enclaves بيئة معزولة وضيقة وشديدة التقييد، قادرة على استضافة التطبيقات الحساسة للأمان. كما تتضمّن Nitro Enclaves شهادة إثبات تشفير لبرامجك، بحيث يمكن أن تتأكّد من أنه لا يوجد رمز غير الرمز المعتمد قيد التشغيل، فضلاً عن أنه تم الدمج بينها وAWS Key Management Service حتى تتمكن الجيوب الأمنية لديك فقط من الوصول إلى المواد الحساسة.

لا توجد رسوم إضافية على استخدام AWS Nitro Enclaves بخلاف استخدام مثيلات Amazon EC2 وأي خدمات AWS أخرى تُستخدم من خلال Nitro Enclaves.

مقدمة حول Nitro Enclaves
نظرة عامة على AWS Nitro Enclaves

المزايا

المزيد من العزل والأمان

الجيوب الأمنية هي أجهزة افتراضية معزولة تمامًا ومعززة وشديدة التقييد. ولا تحتوي على تخزين ثابت ولا وصول تفاعلي ولا شبكات خارجية. ويتم الاتصال بين المثيل والجيب الأمني عبر استخدام قناة محلية آمنة. حتى أنه المستخدم الجذر والمستخدم المسؤول لن يتمكنا من الوصول إلى الجيب الأمني أو يستخدم SSH للوصول إليه.

تستخدم Nitro Enclaves العزل المثبت من Nitro Hypervisor لزيادة عزل وحدة المعالجة المركزية (CPU) والذاكرة للجيب عن المستخدمين والتطبيقات والمكتبات على المثيل الأصلي. تساعد هذه المزايا على عزل الجيوب الأمنية وبرامجك، كما تحدّ من منطقة سطح الهجمات بشكلٍ كبير.

إثبات التشفير

يتيح لك الإثبات إمكانية التحقق من هوية الجيب الأمني وعدم وجود رمز قيد التشغيل في الجيب الأمني باستثناء الرمز المعتمد. تجري عملية الإثبات من خلال Nitro Hypervisor، وهو يقوم بإعداد وثيقة إثبات للجيب الأمني موّقع عليها، من أجل إثبات هوية هذا الجيب أمام جهة أو خدمة أخرى. تحتوي وثائق الإثبات على تفاصيل مهمة للجيب الأمني، مثل المفتاح العام للجيب، وتجزئات من صورة وتطبيقات الجيب، وغير ذلك المزيد. تشمل Nitro Enclaves التكامل بين AWS وKMS، حيث يتمكّن KMS من قراءة وثائق الإثبات التي يرسلها الجيب الأمني والتحقق من صحتها.

مرنة

تتميز Nitro Enclaves بالمرونة. بإمكانك إنشاء الجيوب الأمنية باستخدام مجموعات متنوعة من مراكز وحدات المعالجة المركزية (CPU) والذاكرة. وهذا يضمن لك وجود الموارد الكافية التي تتيح لك تشغيل الذاكرة نفسها أو حساب التطبيقات المركّزة التي كنت تشغلها بالفعل على مثيلات EC2 الحالية. Nitro Enclaves غير مقيدة بمعالج محدد، ويمكن استخدامها عبر مثيلات مشغّلة بواسطة موردي وحدات معالجة مركزية مختلفين. كما أنها متوافقة مع أي لغة برمجة أو إطار عمل. وعلاوة على ذلك، ونظرًا لأن العديد من مكونات Nitro Enclaves مفتوحة المصدر، يستطيع العميل فحص التعليمات البرمجية والتحقق منها بنفسه.

طريقة العمل

كيف يعمل Nitro Enclaves

الشكل 1: كيف تشغِّل Nitro Enclaves تدفق العمليات

الشكل 2: تستخدم Nitro Enclaves تقنية Nitro Hypervisor ذاتها التي تقوم بعزل وحدة المعالجة المركزية والذاكرة بين مثيلات EC2، لإجراء عزل بين Enclave ومثيل EC2.

الشكل 3: يتم إنشاء جيب أمني من خلال تجزئة وحدة المعالجة المركزية والذاكرة لمثيل EC2، يطلق عليه المثيل الأصلي. بإمكانك إنشاء الجيوب الأمنية باستخدام مجموعات متنوعة من مراكز وحدات المعالجة المركزية (CPU) والذاكرة. يوجد أعلاه مثال لاستخدام تقسيم m5.4xlarge إلى مثيل أصلي (14 وحدة معالجة مركزية افتراضية، ذاكرة 32 جيبي بايت) وجيب أمني (2 وحدة معالجة مركزية افتراضية، ذاكرة 32 جيبي بايت). يتم الاتصال بين المثيل الأصلي والجيب الأمني من خلال اتصال محلي آمن يطلق عليه vsock.

حالات الاستخدام

تأمين المفاتيح الخاصة

يستطيع العملاء الآن عزل مفاتيح خاصة واستخدامها (مثل SSL/TLS) في جيب أمني، مع منع المستخدمين والتطبيقات والمكتبات الموجودة على المثيل الأصلي من عرض هذه المفاتيح. يتم تخزين هذه المفاتيح الخاصة في العادة على مثيل EC2 في نص عادي.

AWS Certificate Manager (ACM) for Nitro Enclaves تطبيق جيب أمني يسمح لك باستخدام شهادات SSL/TLS عامة وخاصة من خلال تطبيقات الويب والخوادم الخاصة بك التي تعمل على مثيلات Amazon EC2 عبر AWS Nitro Enclaves.

استخدام الرموز المميزة

استخدام الرموز المميزة (Tokenization) هو عملية لتحويل البيانات شديدة الحساسية مثل أرقام بطاقات الائتمان أو بيانات الرعاية الصحية إلى رمز مميز. باستخدام Nitro Enclaves، يستطيع العملاء تشغيل التطبيق الذي يجري هذا التحويل داخل جيب أمني. يمكن إرسال البيانات المُشفرة إلى الجيب الأمني، حيث يتم فك تشفيرها ثم معالجتها. لن يتمكن مثيل EC2 الأصلي من عرض البيانات الحساسة أو الوصول إليها طوال هذه العملية.

الحوسبة متعددة الأطراف

باستخدام إمكانيات إثبات التشفير الموجودة في Nitro Enclaves، يستطيع العملاء إعداد حوسبة متعددة الأطراف، حيث يمكن لعدة أطراف الانضمام ومعالجة بيانات شديدة الحساسية بدون الحاجة للإفصاح عن البيانات الفعلية أو مشاركتها مع كل طرف. كما يمكن تنفيذ الحوسبة متعددة الأطراف أيضًا داخل نفس المؤسسة لإجراء فصل بين المهام.

قصص العملاء