AWS Nitro Enclaves

创建额外的隔离,进一步保护 EC2 实例中高度敏感的数据

AWS Nitro Enclaves 使客户能够创建隔离的计算环境来进一步保护和安全地处理高度敏感的数据,例如其 Amazon EC2 实例中的个人身份信息 (PII)、医疗保健、金融和知识产权数据。Nitro Enclaves 使用为 EC2 实例提供 CPU 和内存隔离的相同 Nitro 管理程序技术。

Nitro Enclaves 可帮助客户减少他们用于处理最敏感数据的应用程序的攻击面。安全区域提供了隔离的、增强的且约束性很高的环境来托管安全关键应用程序。Nitro Enclaves 包含针对软件的密码证明,这样可确保仅运行授权代码以及与 AWS Key Management Service 的集成,从而确保只有您的安全区域能访问敏感材料。

安全区域是连接到 EC2 实例的虚拟机,不具备持久性存储、管理员或操作员访问权限,只提供与 EC2 实例的安全本地连接。

Nitro_Enclaves_Icon

优势

额外的隔离和安全

安全区域是完全隔离的虚拟机,不具备持久性存储、操作员或管理员访问权限,只提供安全的本地连接。实例与安全区域之间通过安全的本地通道完成通信。这些功能可帮助您隔离安全区域和软件,并能显著减少攻击面。

密码证明

您可以通过证明来验证安全区域中是否只有授权代码在运行,并能够验证安全区域的身份。证明过程通过 Nitro 管理程序完成。该管理程序将为安全区域生成一个签名的证明文档,以此向另一方或另一个服务证明其身份。证明文档包含安全区域的关键详细信息,例如安全区域的公钥、安全区域镜像和应用程序的哈希,以及其他信息。Nitro Enclaves 包含 AWS KMS 集成,其中 KMS 能够读取和验证从安全区域发来的证明文档。

灵活的资源分配

您可以创建具有各种 CPU 内核和内存组合的安全区域。这确保您有足够的资源来运行已在现有 EC2 实例上运行的具有相同内存的应用程序或计算密集型应用程序。

工作原理

Diagram_Nitro-Enclaves (1)

图 1:Nitro Enclaves 使用在 EC2 实例中创建 CPU 和内存隔离的相同 Nitro 管理程序来创建安全区域与 EC2 实例之间的隔离。