Enclaves de AWS Nitro

Cree aislamiento adicional para proteger aún más los datos altamente sensibles dentro de las instancias EC2

Enclaves de AWS Nitro permite que los clientes creen entornos de computación aislados para proteger aún más y procesar de manera segura los datos altamente sensibles como la información de identificación personal (PII), datos de atención sanitaria, financieros y de propiedad intelectual dentro de sus instancias Amazon EC2. Enclaves de Nitro utiliza la misma tecnología Hipervisor Nitro que proporciona aislamiento de memoria y de CPU para las instancias EC2.

Enclaves de Nitro ayuda a los clientes a reducir el área de superficie de ataque para sus aplicaciones de procesamiento de datos más sensibles. Los enclaves ofrece un entorno aislado, endurecido y altamente limitado que aloja aplicaciones críticas de seguridad. Enclaves de Nitro incluye acreditación criptográfica para su software, de manera que pueda estar seguro de que solo se ejecuta el código autorizado, así como la integración con el AWS Key Management Service, de manera que solo sus enclaves puedan acceder a material sensible.

Los enclaves son máquinas virtuales vinculadas con instancias EC2 que vienen sin almacenamiento persistente, sin acceso de administrador u operador, y que solo tienen conectividad local segura con su instancia EC2.

Nitro_Enclaves_Icon

Beneficios

Aislamiento y seguridad adicionales

Los enclaves son máquinas virtuales completamente aisladas que no tienen almacenamiento persistente, no cuentan con acceso de operador o administrador, y solo tienen conectividad local segura. La comunicación entre su instancia y su enclave se realiza utilizando un canal local seguro. Estas características ayudan a aislar el enclave y su software y reducen en gran medida el área de superficie de ataque.

Acreditación criptográfica

La acreditación le permite verificar que solo el código autorizado se esté ejecutando en su enclave, como también verificar la identidad del enclave. El proceso de acreditación se alcanza a través del Hipervisor Nitro, que produce una documentación de acreditación firmada para que el enclave demuestre su identidad a otra parte o servicio. Los documentos de acreditación contienen detalles clave del enclave como su clave pública, hashes de las imágenes y aplicaciones del enclave y más. Enclaves de Nitro incluye la integración con KMS de AWS, donde KMS puede leer y verificar estos documentos de acreditación que se envían desde el enclave.

Acreditación de recursos flexibles

Puede crear enclaves con diferentes combinaciones de memoria y núcleos de CPU. Esto le garantiza que haya suficientes recursos como para ejecutar la misma memoria o computar aplicaciones intensivas que ya ejecutaba en sus instancias EC2 existentes.

Funcionamiento

Diagram_Nitro-Enclaves (1)

Figura 1: Enclaves de Nitro utiliza la misma tecnología Hipervisor Nitro que crea el aislamiento de la memoria y el CPU entre las instancias EC2, a fin de crear el aislamiento entre un Enclave y una instancia EC2.