Enclaves de AWS Nitro

Los enclaves son máquinas virtuales completamente aisladas, protegidas y altamente limitadas. No cuentan con almacenamiento persistente, acceso interactivo o redes externas. La comunicación entre su instancia y su enclave se realiza utilizando un canal local seguro. Ni siquiera un usuario raíz o admin de la instancia podrá acceder o conectar con el enclave mediante SSH.

Enclaves de Nitro utiliza el aislamiento probado del Hipervisor Nitro para aislar aún más la CPU y la memoria del enclave de usuarios, aplicaciones y bibliotecas en la instancia principal. Estas características ayudan a aislar el enclave y su software y reducen en gran medida el área de superficie de ataque.

La acreditación le permite verificar que solo el código autorizado se esté ejecutando en su enclave, como también verificar la identidad del enclave. El proceso de acreditación se alcanza a través del Hipervisor Nitro, que produce una documentación de acreditación firmada para que el enclave demuestre su identidad a otra parte o servicio. Los documentos de acreditación contienen detalles clave del enclave como su clave pública, hashes de las imágenes y aplicaciones del enclave y más. Enclaves de Nitro incluye la integración con KMS de AWS, donde KMS puede leer y verificar estos documentos de acreditación que se envían desde el enclave.

Los enclaves de Nitro son flexibles. Puede crear enclaves con diferentes combinaciones de memoria y núcleos de CPU. Esto le garantiza que haya suficientes recursos como para ejecutar la misma memoria o computar aplicaciones intensivas que ya ejecutaba en sus instancias EC2 existentes. Los Enclaves de Nitro funcionan con cualquier procesador, y pueden utilizarse con instancias de diferentes proveedores de CPU. También son compatibles con cualquier marco o lenguaje de programación. Además, puesto que muchos componentes de los enclaves de Nitro son de código abierto, el cliente también puede inspeccionar el código y validarlo por sí mismo.

Ahora, los clientes pueden aislar y utilizar claves privadas (p. ej., SSL/TLS) en un enclave, a la vez que evitan que los usuarios, aplicaciones y bibliotecas de la instancia principal vean dichas claves. Por lo general, estas claves privadas se almacenan en la instancia EC2 en texto sin formato.

AWS Certificate Manager (ACM) para Enclaves de Nitro es una aplicación de enclaves que le permite utilizar certificados SSL/TLS públicos y privados con aplicaciones web y servidores que se ejecutan en instancias de Amazon EC2 con enclaves Nitro de AWS.

La tokenización es un proceso que convierte datos altamente confidenciales como números de tarjetas de crédito o datos sanitarios en un token. Con Enclaves de Nitro, los clientes pueden ejecutar la aplicación que realiza esta conversión dentro de un enclave. Los datos cifrados se pueden enviar al enclave, donde se descifra y se procesa. La instancia EC2 principal no podrá ver o acceder a datos sensibles durante este proceso.

Mediante la capacidad de acreditación criptográfica de Enclaves de Nitro, los clientes pueden configurar el cálculo para varias partes, mediante el cual pueden unirse diferentes partes y procesar datos altamente confidenciales sin tener que revelar o compartir los datos con el resto de partes. El cálculo para varias partes también puede llevarse a cabo dentro de la misma organización para establecer la separación de deberes.

“Anjuna innovó con una forma lista para el uso empresarial de proteger activos de alto valor para sacar partido de AWS Nitro Enclaves. Ahora, nuestros clientes pueden configurar y administrar entornos de computación aislados en EC2 para procesar y fortalecer cargas de trabajo en la nube en minutos sin recodificar o refactorizar aplicaciones. El software Anjuna Confidential Computing, basado en Nitro Enclaves, reduce la superficie expuesta a ataques para aplicaciones de procesamiento de datos delicados, información de identificación personal (PII), algoritmos patentados, aplicaciones de computación de múltiples partes (MPC), bases de datos y administración de claves y secretos. AWS Nitro Enclaves permite al software Anjuna ofrecer un mejor servicio a los clientes de industrias altamente reguladas, como las de los servicios financieros, fintech, criptodivisas, entidades gubernamentales, entidades sanitarias y proveedores de software como servicio (SaaS)”.

Ayal Yogev, director ejecutivo y cofundador de Anjuna Security

“Una infraestructura de validadores altamente disponible y segura es fundamental para las redes de criptomonedas sostenibles (como la cadena Crypto.org). En concreto, un aspecto clave que es necesario asegurar y reforzar es la firma de los mensajes del protocolo de consenso. Dentro de nuestra infraestructura en la nube, AWS Nitro Enclaves y AWS KMS facilitan a Crypto.com y a nuestros socios externos el escalado, la implementación y la administración de estos procesos de firma. AWS Nitro Enclaves proporciona un refuerzo y un aislamiento rentables para la administración segura de claves”.

Tomas Tauber, líder de la cadena, Crypto.com

“Proteger y procesar información altamente confidencial, como datos financieros, de salud, de identidad y de marca, es uno de los principales casos de uso de la infraestructura de cifrado de Evervault. El corazón de Evervault es el motor de cifrado de Evervault (E3), que realiza todas las operaciones criptográficas y gestiona las claves de cifrado para nuestros clientes. E3 se basa en AWS Nitro Enclaves, que proporciona un entorno informático aislado, reforzado y altamente restringido para el procesamiento de información confidencial. Crear E3 basado en Nitro Enclaves nos permite ofrecer tanto seguridad a través de la certificación criptográfica como una base robusta para todos los demás productos y servicios de Evervault. Sin ningún cargo adicional, Nitro Enclaves nos permite ofrecer un servicio altamente seguro, rentable y escalable a nuestros clientes; un servicio que es capaz de gestionar miles de operaciones criptográficas por segundo”.

Shane Curran, fundador y director ejecutivo (CEO) de Evervault

“La misión de Footprint es devolver la confianza a Internet, y nuestra primera prioridad es asegurarnos de que utilizamos la arquitectura de bóveda más sofisticada y robusta para almacenar, cifrar y procesar datos financieros y personales sensibles para nuestros clientes y sus usuarios. Para lograrlo, hemos diseñado y construido la infraestructura de bóveda central de Footprint sobre AWS Nitro Enclaves debido a la seguridad de primera clase que proporciona: la capacidad de ejecutar código firmado y atestiguado criptográficamente en un entorno aislado de CPU, memoria y red para reducir masivamente la superficie expuesta a ataques y proporcionar a nuestros clientes una base de seguridad que supera con creces los enfoques normales que las empresas utilizan hoy en día”.

Alex Grinman, cofundador y director técnico de Footprint

“M10 Networks, Inc desarrolla e implementa M10 Ledger Platform, un servicio para desarrollar y distribuir monedas digitales de bancos centrales y pasivos regulados tokenizados, en AWS. Ledger Platform usa AWS Nitro Enclaves para hacer la verificación de la firma y la refirma criptográfica de lotes de transacciones. Mediante el uso de AWS Nitro Enclaves en las últimas instancias M6i de AWS, M10 puede ofrecer una solución rentable y de alto rendimiento para el mercado de la moneda digital”.

Sascha Wise, ingeniero fundador de M10