AWS Nitro-Enklaven

Erstellen Sie eine zusätzliche Isolation, um hochsensible Daten in EC2-Instances weiter zu schützen

Mit AWS Nitro-Enklaven können Kunden isolierte Computerumgebungen erstellen, um hochsensible Daten wie personenbezogene Daten (PII), Daten aus den Bereichen Gesundheitswesen, Finanzen und geistiges Eigentum in ihren Amazon EC2-Instances weiter zu schützen und sicher zu verarbeiten. Nitro Enclaves verwendet dieselbe Nitro-Hypervisor-Technologie, die eine CPU- und Speicherisolation für EC2-Instances bietet.

Nitro Enclaves hilft Kunden, die Angriffsfläche für ihre sensibelsten Datenverarbeitungsanwendungen zu reduzieren. Enclaves bietet eine isolierte, gehärtete und stark eingeschränkte Umgebung zum Hosten sicherheitskritischer Anwendungen. Nitro Enclaves enthält eine kryptografische Bescheinigung für Ihre Software, sodass Sie sicher sein können, dass nur autorisierter Code ausgeführt wird, sowie die Integration mit dem AWS Key Management Service, sodass nur Ihre Enklaven auf sensibles Material zugreifen können.

Enklaven sind an EC2-Instances angehängte virtuelle Maschinen, die keinen dauerhaften Speicher, keinen Administrator- oder Bedienerzugriff und nur eine sichere lokale Verbindung zu Ihrer EC2-Instance bieten.

Nitro_Enclaves_Icon

Vorteile

Zusätzliche Isolation und Sicherheit

Enklaven sind vollständig isolierte virtuelle Maschinen ohne permanenten Speicher, ohne Bediener- oder Administratorzugriff und nur mit sicherer lokaler Konnektivität. Die Kommunikation zwischen Ihrer Instance und Ihrer Enklave erfolgt über einen sicheren lokalen Kanal. Mit diesen Funktionen können Sie die Enklave und Ihre Software isolieren und die Angriffsfläche erheblich reduzieren.

Kryptografische Bescheinigung

Mit der Bestätigung können Sie überprüfen, ob in Ihrer Enklave nur autorisierter Code ausgeführt wird, und die Identität der Enklave überprüfen. Der Attestierungsprozess wird durch den Nitro-Hypervisor durchgeführt, der ein signiertes Attestierungsdokument für die Enklave erstellt, um ihre Identität gegenüber einer anderen Partei oder einem anderen Dienst nachzuweisen. Attestierungsdokumente enthalten Schlüsseldetails der Enklave, z. B. den öffentlichen Schlüssel der Enklave, Hashes des Enklavenabbilds und der Anwendungen und mehr. Nitro-Enklaven umfassen die AWS KMS-Integration, mit der KMS diese von der Enklave gesendeten Attestierungsdokumente lesen und überprüfen kann.

Flexibles Ressourcenverteilung

Sie können Enklaven mit unterschiedlichen Kombinationen von CPU-Kernen und Arbeitsspeicher erstellen. Auf diese Weise wird sichergestellt, dass Sie über ausreichende Ressourcen verfügen, um denselben Arbeitsspeicher oder dieselben rechenintensiven Anwendungen auszuführen, die Sie bereits auf Ihren vorhandenen EC2-Instances ausgeführt haben.

Funktionsweise

Diagram_Nitro-Enclaves (1)

Abbildung 1: Nitro-Enklaven verwendet dieselbe Nitro-Hypervisor-Technologie, mit der die CPU- und Speicherisolation zwischen EC2-Instances erstellt wird, um die Isolation zwischen einer Enclave und einer EC2-Instance zu erstellen.