AWS Nitro Enclaves 使客户能够创建隔离的计算环境来进一步保护和安全地处理高度敏感的数据,例如其 Amazon EC2 实例中的个人身份信息 (PII)、医疗保健、金融和知识产权数据。Nitro Enclaves 使用为 EC2 实例提供 CPU 和内存隔离的相同 Nitro 管理程序技术。
Nitro Enclaves 可帮助客户减少他们用于处理最敏感数据的应用程序的攻击面。安全区域提供了隔离的、增强的且约束性很高的环境来托管安全关键应用程序。Nitro Enclaves 包含针对软件的密码证明,这样可确保仅运行授权代码以及与 AWS Key Management Service 的集成,从而确保只有您的 Enclaves 能访问敏感材料。
除了使用 Amazon EC2 实例和与 Nitro Enclaves 一起使用的任何其他亚马逊云科技服务的使用费用之外,使用 Amazon Nitro Enclaves 不会产生额外费用。
优势
额外的隔离和安全
Enclaves 是完全独立的虚拟机,稳定且高度受限。它们没有持久性存储、交互式访问和外部联网。实例与 Enclave 之间通过安全的本地通道完成通信。即使您是实例上的根用户或管理员用户,也不能访问或通过 SSH 连接到 Enclave。
Nitro Enclaves 使用经过验证的 Nitro 管理程序隔离将 Enclave 的 CPU 和内存与父级实例上的用户、应用程序和库进一步隔离。这些功能可帮助您隔离安全区域和软件,并能显著减少攻击面。
密码证明
您可以通过证明来验证安全区域的身份,以及安全区域中是否只有授权代码在运行。证明过程通过 Nitro 管理程序完成。该管理程序将为安全区域生成一个签名的证明文档,以此向另一方或另一个服务证明其身份。证明文档包含安全区域的关键详细信息,例如安全区域的公钥、安全区域镜像和应用程序的哈希,以及其他信息。Nitro Enclaves 包含 AWS KMS 集成,其中 KMS 能够读取和验证从安全区域发来的证明文档。
灵活
Nitro Enclaves 非常灵活。您可以创建具有各种 CPU 内核和内存组合的安全区域。这确保您有足够的资源来运行已在现有 EC2 实例上运行的具有相同内存的应用程序或计算密集型应用程序。Nitro Enclaves 与处理器无关,可在由不同 CPU 供应商提供支持的实例中使用。它们还与任何编程语言或框架兼容。此外,由于 Nitro Enclaves 的很多组件是开源的,客户甚至可以自行检查并验证代码。
工作原理
图 1:Nitro Enclaves 的工作原理流程
图 2:Nitro Enclaves 使用在 EC2 实例中创建 CPU 和内存隔离的相同 Nitro 管理程序来创建安全区域与 EC2 实例之间的隔离。
图 3:通过对称为父实例的 EC2 实例的 CPU 和内存进行分区来创建安全区域。您可以创建具有各种 CPU 内核和内存组合的安全区域。以上示例将 m5.4xlarge 分割成父实例(14 vCPU、32 GiB 内存)和安全区域(2 vCPU、32 GiB 内存)。父实例与安全区域之间的通信通过称为 vsock 的安全本地连接完成。
使用案例
保护私有密钥
客户现在可以在安全区域中隔离和使用私有密钥(例如 SSL/TLS),同时阻止父实例上的用户、应用程序和库查看这些密钥。通常,这些私有密钥以纯文本形式存储在 EC2 实例中。
AWS Certificate Manager (ACM) for Nitro Enclaves 是一个安全区域应用程序,您可以通过该应用程序将公有和私有 SSL/TLS 证书与在带有 AWS Nitro Enclaves 的 Amazon EC2 实例上运行的 Web 应用程序和服务器结合使用。
令牌化
令牌化是一种将信用卡号或医疗保健数据等高度敏感数据转换为令牌的过程。借助 Nitro Enclaves,客户可以在安全区域内运行执行此转换的应用程序。加密的数据可以发送到安全区域,然后在那里解密并处理。在整个过程中,父 EC2 实例将无法查看或访问敏感数据。
多方计算
使用 Nitro Enclaves 的加密证明功能,客户可以设置多方计算,其中多个参与方可以加入和处理高度敏感的数据,而无需分别向每个参与方披露或共享实际数据。多方计算也可在同一组织内进行,以建立责任分离。
客户案例
“ACINQ 是 Lightning Network 的主要开发商和运营商之一,Lightning Network 是一个基于比特币的开放、高性能的支付网络。我们通过在 AWS Nitro Enclaves 内运行支付节点,在几乎不修改代码的情况下为控制我们资金的私钥提供所需的高级别保护。从安全角度来看,在 AWS Nitro Enclaves 内运行复杂的、经过密码验证的应用程序的能力改变了游戏规则,使我们能够实施额外的安全措施,例如使用硬件钱包来管理我们的系统。我们使用 AWS Nitro Enclaves 运营网络上最安全的支付节点之一,并计划将更多服务转移到 AWS Nitro Enclaves,以缩小我们整个系统的攻击面。”
Fabrice Drouin,ACINQ 联合创始人兼首席技术官
“Anjuna 利用 AWS Nitro Enclaves 革新了保护高价值资产的企业就绪型方式。现在,我们的客户可以在 EC2 中设置和管理隔离的计算环境,在几分钟内处理和强化云工作负载,而无需对应用程序进行重新编码或重构。Anjuna 机密软件构建于 Nitro Enclaves 基础之上,可以减少机密和敏感数据处理应用程序的攻击面:个人身份信息(PII)、专有算法、多方计算(MPC)应用程序、数据库和密钥管理。AWS Nitro Enclaves 使 Anjuna 的软件能够更好地为高度受管制行业的客户服务,这些行业包括金融服务、金融科技、加密、政府、医护和 SaaS 提供商。”
Ayal Yogev,Anjuna Security 联合创始人兼首席执行官
“Cape Privacy 专注于利用云技术的 AI 的数据安全和隐私。公司可以使用 Cape API,针对可能包含敏感或机密数据的自定义知识库利用大型语言模型的强大功能。Cape API 旨在为客户数据提供隐私保护,同时不影响使用大型语言模型的价值。在 Amazon EC2 上使用 Cape 模型的客户可以对 Cape Privacy 保护敏感数据的方法充满信心,因为他们基于 AWS Nitro System 使用 AWS Nitro Enclaves,采用各种隐私保护数据处理技术,以确保没有人能看到您的数据。”
Ché Wijesinghe,Cape Privacy 首席执行官
“高度可用且安全的验证器基础设施对可持续的加密货币网络(例如, Crypto.org 链)至关重要。特别是,需要保护并硬化的一个关键方面是对一致性协议消息的签名。在我们的云基础设施内,AWS Nitro Enclaves 和 AWS KMS 让 Crypto.com 和外部合作伙伴能够轻松地扩展、部署和管理这些签名流程。AWS Nitro Enclaves 为安全密钥管理提供了经济实惠的硬化和隔离。”
Tomas Tauber,Crypto.com 链主管
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
“作为密码管理员,Dashlane 负责为组织保护一些最敏感的数据。通过使用 AWS Nitro Enclaves,我们的客户能够将集成设置时间缩短一半,同时确保最高级别的安全性。AWS Nitro Enclaves 提供了一种完全隔离加密密钥的创新方法,使组织可以确信自己的数据是私密且受保护的,且包括 Dashlane 在内的未经授权的各方都无法查看或访问密钥。”
Frederic Rivain,Dashlane 首席技术官
“保护和处理高度敏感信息,例如财务、医疗、身份和专利数据,是 Evervault 的加密基础设施的主要使用案例之一。Evervault 的核心是我们的 Evervault 加密引擎 (E3),它执行所有加密操作并为客户处理加密密钥。E3 基于 AWS Nitro Enclaves 构建,后者可为处理敏感数据提供隔离、硬化且高度受限的计算环境。基于 Nitro Enclaves 构建 E3 意味着我们可通过密码证明确保安全,并为所有其他 Evervault 产品和服务提供坚实的基础。无需额外收费,即可通过 Nitro Enclaves 向客户提供极其安全、经济实惠且可扩展的服务;该服务每秒能够处理数千个加密操作。”
Shane Curran,Evervault 创始人兼首席执行官
“Footprint 的使命是重新在互联网建立信任感,我们的首要任务是确保使用最先进、最强大的文件库架构来为我们的客户及其用户存储、加密和处理敏感的财务和个人数据。为实现这一目标,我们基于 AWS Nitro Enclaves 设计并构建了 Footprint 的核心存储基础设施,因为它能提供世界级的安全性:能够在 CPU、内存和网络隔离环境中运行经过加密签名和证明的代码,从而大大降低攻击面,并为我们的客户提供强大的安全基础,远胜于当今企业所采用的一般方法。”
Alex Grinman,Footprint 联合创始人兼首席技术官
“Fortanix 是机密计算领域的先驱,为多方数据协作、联合机器学习和机密数据搜索应用场景提供支持。Fortanix 客户可以使用机密计算管理器来直接迁移其机密应用程序,并在 Amazon Elastic Compute Cloud(Amazon EC2)实例上启用的各种 AWS Nitro Enclaves 上运行它们,以确保敏感数据在使用过程中受到保护。Fortanix 帮助医疗保健、金融科技、金融服务和制造等各个行业的客户加速 AWS 迁移,在包括静态、动态和使用中的整个数据生命周期中增强安全性并保护数据。”
Anand Kashyap,Fortanix 首席执行官
“Itaú Digital Assets 是 Itaú Unibanco 的业务部门,负责使用区块链技术开发解决方案。在此背景下,Nitro Enclaves 帮助我们创建了一个安全的环境,以便操作我们的加密资产托管服务的加密密钥,为处理数据增加了一层额外的保护,同时减少了攻击面。这种高水平的保护是使我们能够执行与卓越安全相关的复杂解决方案的关键因素,而卓越安全是我们机构的主要支柱之一。”
Carlos Eduardo Mazzei,Itaú Unibanco 首席技术官
“M10 Networks, Inc 在 AWS 上开发与部署他们的 M10 Ledger Platform,该服务可被用于开发和分发中央银行数字货币和代币化受监管债务。Ledger Platform 采用 AWS Nitro Enclaves 执行批量交易的签名验证和加密再签名。在 AWS 最新 M6i 实例上使用 AWS Nitro Enclaves,M10 能够为数字货币市场提供高性能而且经济高效的解决方案。”
Sascha Wise,M10 创始工程师
“Okta 是一家身份即服务(IDaaS)公司,可帮助任何人与任何设备上的任何应用程序建立联系。Okta 为云端客户或使用本地应用程序的客户提供企业级身份管理服务。 Okta 的特权访问管理(PAM)解决方案通过将关键 PAM 功能(包括特权访问管理、凭证存储和合规性报告)融入核心身份和访问管理解决方案来帮助组织管理风险。 Okta 使用 Nitro Enclaves 在客户各自的 Okta PAM 解决方案中安全地管理和存储其基础设施凭证。 Okta 的 PAM 解决方案利用 Nitro Enclaves 帮助,在经过审查和加密验证的环境中管理客户凭证。作为我们深度防御架构的一部分,Okta 使用 AWS Nitro Enclaves 保护客户免受攻击。 Okta 期待在 Nitro Enclaves 的基础上扩展 Okta 特权访问的功能,继续为保护客户生态系统访问权限奠定安全的基础。”
Smitha Prasad,Okta 工程总监