AWS Nitro Enclaves

Erstellen Sie eine zusätzliche Isolation, um hochsensible Daten in EC2-Instances weiter zu schützen

Mit AWS Nitro Enklaves können Kunden isolierte Computerumgebungen erstellen, um hochsensible Daten wie personenbezogene Daten (PII), Daten aus den Bereichen Gesundheitswesen, Finanzen und geistiges Eigentum in ihren Amazon EC2-Instances weiter zu schützen und sicher zu verarbeiten. Nitro Enclaves verwendet dieselbe Nitro-Hypervisor-Technologie, die eine CPU- und Speicherisolation für EC2-Instances bietet.

Nitro Enclaves hilft Kunden, die Angriffsfläche für ihre sensibelsten Datenverarbeitungsanwendungen zu reduzieren. Enclaves bietet eine isolierte, gehärtete und stark eingeschränkte Umgebung zum Hosten sicherheitskritischer Anwendungen. Nitro Enclaves enthält eine kryptografische Bescheinigung für Ihre Software, sodass Sie sicher sein können, dass nur autorisierter Code ausgeführt wird, sowie die Integration mit dem AWS Key Management Service, sodass nur Ihre Enklaven auf sensibles Material zugreifen können.

Es entstehen keine zusätzlichen Gebühren für die Nutzung von AWS Nitro Enclaves, außer der Nutzung von Amazon-EC2-Instances und anderen AWS-Services, die mit Nitro Enclaves genutzt werden.

Einführung Nitro Enclaves
Übersicht über AWS Nitro Enclaves
Schutz sensibler Daten bei der Nutzung mit vertraulichem AWS-Computing

Vorteile

Zusätzliche Isolation und Sicherheit

Enklaven sind vollständig isolierte virtuelle Maschinen, die gehärtet und stark eingeschränkt sind. Sie haben keinen dauerhaften Speicher, keinen interaktiven Zugang und keine externe Vernetzung. Die Kommunikation zwischen Ihrer Instance und Ihrer Enklave erfolgt über einen sicheren lokalen Kanal. Selbst ein Root-Benutzer oder ein Admin-Benutzer auf der Instance kann nicht auf die Enklave zugreifen oder SSH in die Enklave einbinden.

Nitro Enklaven verwendet die bewährte Isolierung des Nitro-Hypervisor, um die CPU und den Speicher der Enklave weiter von Benutzern, Anwendungen und Bibliotheken auf der übergeordneten Instance zu isolieren. Mit diesen Funktionen können Sie die Enklave und Ihre Software isolieren und die Angriffsfläche erheblich reduzieren.

Kryptografische Bescheinigung

Mit der Attestierung können Sie überprüfen, ob in Ihrer Enklave nur autorisierter Code ausgeführt wird, und die Identität der Enklave überprüfen. Der Attestierungsprozess wird durch den Nitro-Hypervisor durchgeführt, der ein signiertes Attestierungsdokument für die Enklave erstellt, um ihre Identität gegenüber einer anderen Partei oder einem anderen Dienst nachzuweisen. Attestierungsdokumente enthalten Schlüsseldetails der Enklave, z. B. den öffentlichen Schlüssel der Enklave, Hashes des Enklavenabbilds und der Anwendungen und mehr. Nitro-Enklaven umfassen die AWS KMS-Integration, mit der KMS diese von der Enklave gesendeten Attestierungsdokumente lesen und überprüfen kann.

Flexibel

Nitro-Enklaven sind flexibel. Sie können Enklaven mit unterschiedlichen Kombinationen von CPU-Kernen und Arbeitsspeicher erstellen. Auf diese Weise wird sichergestellt, dass Sie über ausreichende Ressourcen verfügen, um denselben Arbeitsspeicher oder dieselben rechenintensiven Anwendungen auszuführen, die Sie bereits auf Ihren vorhandenen EC2-Instances ausgeführt haben. Nitro-Enklaven sind prozessorunabhängig und können in Instances verschiedener CPU-Anbieter verwendet werden. Sie sind auch mit jeder Programmiersprache oder jedem Framework kompatibel. Da viele Komponenten von Nitro-Enklaven offener Herkunft sind, können Kunden den Code sogar selbst inspizieren und validieren.

Funktionsweise

Funktionsweise Nitro-Enklaven

Abbildung 1: Nitro-Enklaven – Funktionsweise und Prozessablauf

Abbildung 2: Nitro-Enklaven verwendet dieselbe Nitro-Hypervisor-Technologie, mit der die CPU- und Speicherisolation zwischen EC2-Instances erstellt wird, um die Isolation zwischen einer Enclave und einer EC2-Instance zu erstellen.

Abbildung 3: Eine Enklave wird durch Partitionierung der CPU und des Speichers einer EC2-Instance, einer so genannten übergeordneten Instance, erstellt. Sie können Enklaven mit unterschiedlichen Kombinationen von CPU-Kernen und Arbeitsspeicher erstellen. Oben ist ein Beispiel mit m5.4xlarge, das in eine übergeordnete Instance (14 vCPU, 32 GiB Speicher) und eine Enklave (2 vCPU, 32 GiB Speicher) aufgeteilt ist. Die Kommunikation zwischen der übergeordneten Instance und der Enklave erfolgt über eine sichere lokale Verbindung namens vsock.

Anwendungsfälle

Sichern privater Schlüssel

Kunden können jetzt private Schlüssel (z. B. SSL/TLS) in einer Enklave isolieren und verwenden, während Benutzer, Anwendungen und Bibliotheken auf der übergeordneten Instance daran gehindert werden, diese Schlüssel anzuzeigen. Normalerweise werden diese privaten Schlüssel auf der EC2-Instance im Klartext gespeichert.

AWS Certificate Manager (ACM) für Nitro-Enklaven ist eine Enklaven-Anwendung, die es Ihnen ermöglicht, öffentliche und private SSL/TLS-Zertifikate mit Ihren Webanwendungen und Servern, die auf Amazon EC2-Instances laufen, mit AWS Nitro-Enklaven zu verwenden.

Tokenisierung

Die Tokenisierung ist ein Prozess, bei dem hochsensible Daten wie Kreditkartennummern oder Daten aus dem Gesundheitswesen in ein Token umgewandelt werden. Mit Nitro-Enklaven können Kunden die Anwendung, die diese Konvertierung durchführt, innerhalb einer Enklave ausführen. Verschlüsselte Daten können an die Enklave gesendet werden, wo sie entschlüsselt und dann verarbeitet werden. Die übergeordnete EC2-Instance kann die sensiblen Daten während dieses gesamten Prozesses weder einsehen noch auf sie zugreifen.

Mehrparteien-Datenverarbeitung

Mithilfe der kryptografischen Attestierungsfunktion von Nitro Enclaves können Kunden Berechnungen für mehrere Parteien einrichten, bei denen mehrere Parteien hochsensible Daten zusammenführen und verarbeiten können, ohne dass die tatsächlichen Daten jeder einzelnen Partei offengelegt oder mitgeteilt werden müssen. Mehrparteien-Datenverarbeitung kann auch innerhalb derselben Organisation durchgeführt werden, um eine Trennung der Aufgaben zu erreichen.

Erfahrungsberichte von Kunden