Enclaves de AWS Nitro
Enclaves de AWS Nitro permite que los clientes creen entornos informáticos aislados para proteger aún más y procesar de manera segura los datos altamente sensibles como la información de identificación personal (PII), datos de atención sanitaria, financieros y de propiedad intelectual dentro de sus instancias Amazon EC2. Enclaves de Nitro utiliza la misma tecnología Hipervisor Nitro que proporciona aislamiento de memoria y de CPU para las instancias EC2.
Enclaves de Nitro ayuda a los clientes a reducir el área de superficie de ataque para sus aplicaciones de procesamiento de datos más sensibles. Los enclaves ofrece un entorno aislado, endurecido y altamente limitado que aloja aplicaciones críticas de seguridad. Enclaves de Nitro incluye acreditación criptográfica para su software, de manera que pueda estar seguro de que solo se ejecuta el código autorizado, así como la integración con el AWS Key Management Service, de manera que solo sus enclaves puedan acceder a material sensible.
No hay costo adicional por el uso de AWS Nitro Enclaves más allá que el de las instancias de Amazon EC2 y cualquier otro servicio de AWS que se utilice con AWS Nitro Enclaves.
Beneficios
Aislamiento y seguridad adicionales
Los enclaves son máquinas virtuales completamente aisladas, protegidas y altamente limitadas. No cuentan con almacenamiento persistente, acceso interactivo o redes externas. La comunicación entre su instancia y su enclave se realiza utilizando un canal local seguro. Ni siquiera un usuario raíz o admin de la instancia podrá acceder o conectar con el enclave mediante SSH.
Enclaves de Nitro utiliza el aislamiento probado del Hipervisor Nitro para aislar aún más la CPU y la memoria del enclave de usuarios, aplicaciones y bibliotecas en la instancia principal. Estas características ayudan a aislar el enclave y su software y reducen en gran medida el área de superficie de ataque.
Acreditación criptográfica
La acreditación le permite verificar que solo el código autorizado se esté ejecutando en su enclave, como también verificar la identidad del enclave. El proceso de acreditación se alcanza a través del Hipervisor Nitro, que produce una documentación de acreditación firmada para que el enclave demuestre su identidad a otra parte o servicio. Los documentos de acreditación contienen detalles clave del enclave como su clave pública, hashes de las imágenes y aplicaciones del enclave y más. Enclaves de Nitro incluye la integración con KMS de AWS, donde KMS puede leer y verificar estos documentos de acreditación que se envían desde el enclave.
Flexibilidad
Los enclaves de Nitro son flexibles. Puede crear enclaves con diferentes combinaciones de memoria y núcleos de CPU. Esto le garantiza que haya suficientes recursos como para ejecutar la misma memoria o computar aplicaciones intensivas que ya ejecutaba en sus instancias EC2 existentes. Los Enclaves de Nitro funcionan con cualquier procesador, y pueden utilizarse con instancias de diferentes proveedores de CPU. También son compatibles con cualquier marco o lenguaje de programación. Además, puesto que muchos componentes de los enclaves de Nitro son de código abierto, el cliente también puede inspeccionar el código y validarlo por sí mismo.
Funcionamiento
Figura 1: Flujo del proceso de funcionamiento de Enclaves de Nitro
Figura 2: Enclaves de Nitro utiliza la misma tecnología Hipervisor Nitro que crea el aislamiento de la memoria y el CPU entre las instancias EC2, a fin de crear el aislamiento entre un Enclave y una instancia EC2.
Figura 3: Se crea un enclave al particionar la CPU y la memoria de una instancia de EC2, lo que se conoce como instancia principal. Puede crear enclaves con diferentes combinaciones de memoria y núcleos de CPU. Arriba se muestra un ejemplo que utiliza una m5.4xlarge dividida entre una instancia principal (14 vCPU, 32 GiB de memoria) y Enclave (2 vCPU, 32 GiB de memoria). La comunicación entre la instancia principal y el enclave se realiza mediante una conexión local segura llamada vsock.
Casos de uso
Protección de claves privadas
Ahora, los clientes pueden aislar y utilizar claves privadas (p. ej., SSL/TLS) en un enclave, a la vez que evitan que los usuarios, aplicaciones y bibliotecas de la instancia principal vean dichas claves. Por lo general, estas claves privadas se almacenan en la instancia EC2 en texto sin formato.
AWS Certificate Manager (ACM) para Enclaves de Nitro es una aplicación de enclaves que le permite utilizar certificados SSL/TLS públicos y privados con aplicaciones web y servidores que se ejecutan en instancias de Amazon EC2 con enclaves Nitro de AWS.
Tokenización
La tokenización es un proceso que convierte datos altamente confidenciales como números de tarjetas de crédito o datos sanitarios en un token. Con Enclaves de Nitro, los clientes pueden ejecutar la aplicación que realiza esta conversión dentro de un enclave. Los datos cifrados se pueden enviar al enclave, donde se descifra y se procesa. La instancia EC2 principal no podrá ver o acceder a datos sensibles durante este proceso.
Cálculo para varias partes
Mediante la capacidad de acreditación criptográfica de Enclaves de Nitro, los clientes pueden configurar el cálculo para varias partes, mediante el cual pueden unirse diferentes partes y procesar datos altamente confidenciales sin tener que revelar o compartir los datos con el resto de partes. El cálculo para varias partes también puede llevarse a cabo dentro de la misma organización para establecer la separación de deberes.
Recursos
- Guía del usuario de los enclaves de AWS Nitro
- Introducción a los enclaves de Nitro
- ACM para Enclaves de AWS Nitro
- CLI de Enclaves de AWS Nitro
- API NSM de Enclaves de AWS Nitro
- SDK de Enclaves de AWS Nitro
- Blog: Enclaves de AWS Nitro – Entornos de EC2 asilados para procesar datos confidenciales
- Novedades: Enclaves de Nitro
- Novedades: ACM para Nitro Enclaves
Historias de clientes
“ACINQ es uno de los principales desarrolladores y operadores de Lightning Network, una red de pagos abierta y de alto rendimiento basada en Bitcoin. Al ejecutar nuestros nodos de pago en AWS Nitro Enclaves, pudimos lograr el alto nivel de protección que necesitamos para las claves privadas que controlan nuestros fondos prácticamente sin modificar el código. La capacidad de ejecutar aplicaciones complejas certificadas por criptografía en AWS Nitro Enclaves supone un punto de inflexión desde el punto de vista de la seguridad y nos permite implementar medidas de seguridad adicionales, como el uso de billeteras hardware para administrar nuestros sistemas. Con AWS Nitro Enclaves, gestionamos uno de los nodos de pago más seguros de la red y tenemos previsto trasladar más servicios a AWS Nitro Enclaves para reducir la superficie expuesta a ataques de todo nuestro sistema”.
Fabrice Drouin, cofundador y director de tecnología de ACINQ
“Anjuna innovó con una forma lista para el uso empresarial de proteger activos de alto valor para sacar partido de AWS Nitro Enclaves. Ahora, nuestros clientes pueden configurar y administrar entornos de computación aislados en EC2 para procesar y fortalecer cargas de trabajo en la nube en minutos sin recodificar o refactorizar aplicaciones. El software Anjuna Confidential Computing, basado en Nitro Enclaves, reduce la superficie expuesta a ataques para aplicaciones de procesamiento de datos delicados, información de identificación personal (PII), algoritmos patentados, aplicaciones de computación de múltiples partes (MPC), bases de datos y administración de claves y secretos. AWS Nitro Enclaves permite al software Anjuna ofrecer un mejor servicio a los clientes de industrias altamente reguladas, como las de los servicios financieros, fintech, criptodivisas, entidades gubernamentales, entidades sanitarias y proveedores de software como servicio (SaaS)”.
Ayal Yogev, CEO y cofundador de Anjuna Security
“Cape Privacy se centra en la seguridad y la privacidad de los datos para la IA que usa la nube. Las empresas pueden utilizar la API de Cape para aprovechar la potencia de los modelos de lenguaje de gran tamaño con una base de conocimientos personalizada que puede incluir datos confidenciales. La API de Cape está diseñada para proporcionar privacidad a los datos de los clientes sin comprometer el valor de usar un modelo de lenguaje grande. Los clientes que utilizan los modelos de Cape en Amazon EC2 pueden confiar en el enfoque de Cape Privacy para proteger sus datos confidenciales, ya que la empresa usa AWS Nitro Enclaves además de AWS Nitro System con varias técnicas de procesamiento de datos que preservan la privacidad para garantizar que nadie pueda ver nunca sus datos”.
Ché Wijesinghe, CEO de Cape Privacy
“Una infraestructura de validadores altamente disponible y segura es fundamental para las redes de criptomonedas sostenibles (como la cadena Crypto.org). En concreto, un aspecto clave que es necesario asegurar y reforzar es la firma de los mensajes del protocolo de consenso. Dentro de nuestra infraestructura en la nube, AWS Nitro Enclaves y AWS KMS facilitan a Crypto.com y a nuestros socios externos el escalado, la implementación y la administración de estos procesos de firma. AWS Nitro Enclaves proporciona un refuerzo y un aislamiento rentables para la administración segura de claves”.
Tomas Tauber, líder de la cadena, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
“Como administrador de contraseñas, Dashlane es responsable de proteger algunos de los datos más confidenciales de las organizaciones. Con AWS Nitro Enclaves, nuestros clientes pueden reducir a la mitad el tiempo de configuración de la integración y, al mismo tiempo, garantizar el máximo nivel de seguridad. AWS Nitro Enclaves ofrece una forma innovadora de aislar completamente las claves de cifrado, lo que permite a las organizaciones estar seguras de que sus datos son privados y están protegidos, y de que ninguna parte no autorizada, incluida Dashlane, puede ver las claves de acceso ni acceder a ellas.”
Frederic Rivain, director de tecnología de Dashlane
“Proteger y procesar información altamente confidencial, como datos financieros, de salud, de identidad y de marca, es uno de los principales casos de uso de la infraestructura de cifrado de Evervault. El corazón de Evervault es el motor de cifrado de Evervault (E3), que realiza todas las operaciones criptográficas y gestiona las claves de cifrado para nuestros clientes. E3 se basa en AWS Nitro Enclaves, que proporciona un entorno informático aislado, reforzado y altamente restringido para el procesamiento de información confidencial. Crear E3 basado en Nitro Enclaves nos permite ofrecer tanto seguridad a través de la certificación criptográfica como una base robusta para todos los demás productos y servicios de Evervault. Sin ningún cargo adicional, Nitro Enclaves nos permite ofrecer un servicio altamente seguro, rentable y escalable a nuestros clientes; un servicio que es capaz de gestionar miles de operaciones criptográficas por segundo”.
Shane Curran, fundador y director ejecutivo (CEO) de Evervault
“La misión de Footprint es devolver la confianza a Internet, y nuestra primera prioridad es asegurarnos de que utilizamos la arquitectura de bóveda más sofisticada y robusta para almacenar, cifrar y procesar datos financieros y personales sensibles para nuestros clientes y sus usuarios. Para lograrlo, hemos diseñado y construido la infraestructura de bóveda central de Footprint sobre AWS Nitro Enclaves debido a la seguridad de primera clase que proporciona: la capacidad de ejecutar código firmado y atestiguado criptográficamente en un entorno aislado de CPU, memoria y red para reducir masivamente la superficie expuesta a ataques y proporcionar a nuestros clientes una base de seguridad que supera con creces los enfoques normales que las empresas utilizan hoy en día”.
Alex Grinman, Co-founder y CTO de Footprint
“Fortanix, pionera en computación confidencial, potencia la colaboración de datos entre múltiples partes, el machine learning federado y los casos de uso de búsqueda de datos confidenciales. Los clientes de Fortanix pueden usar Confidential Computing Manager para migrar mediante lift-and-shift sus aplicaciones confidenciales y ejecutarlas en una amplia gama de AWS Nitro Enclaves habilitadas en instancias de Amazon Elastic Compute Cloud (Amazon EC2) para garantizar que los datos confidenciales permanezcan protegidos durante su uso. Fortanix ayuda a los clientes de una variedad de sectores, incluidas la atención médica, la tecnología financiera, los servicios financieros y la fabricación, a acelerar sus migraciones a AWS con una seguridad mejorada y datos protegidos durante todo su ciclo de vida: en reposo, en movimiento y en uso”.
Anand Kashyap, CEO, Fortanix
«Itaú Digital Assets es la unidad de negocios del Itaú Unibanco responsable del desarrollo de soluciones que utilizan la tecnología blockchain. En este contexto, Nitro Enclaves nos ha ayudado a crear un entorno seguro para la manipulación de las claves criptográficas de nuestros servicios de custodia de criptoactivos, añadiendo otra capa de protección para el procesamiento de datos y, al mismo tiempo, reduciendo la superficie de ataque. Este alto nivel de protección fue un factor clave que permitió la ejecución de soluciones complejas asociadas a la excelencia en seguridad, uno de los principales pilares de nuestra institución».
Carlos Eduardo Mazzei, director de tecnología de Itaú Unibanco
“M10 Networks, Inc desarrolla e implementa M10 Ledger Platform, un servicio para desarrollar y distribuir monedas digitales de bancos centrales y pasivos regulados tokenizados, en AWS. Ledger Platform usa AWS Nitro Enclaves para hacer la verificación de la firma y la refirma criptográfica de lotes de transacciones. Mediante el uso de AWS Nitro Enclaves en las últimas instancias M6i de AWS, M10 puede ofrecer una solución rentable y de alto rendimiento para el mercado de la moneda digital”.
Sascha Wise, ingeniero fundador de M10
"Okta, una empresa de identidad como servicio (IDaaS), ayuda a conectar a cualquier persona con cualquier aplicación en cualquier dispositivo. Okta ofrece un servicio de gestión de identidad de nivel empresarial para los clientes en la nube o que utilizan aplicaciones locales. La solución de gestión de acceso privilegiado (PAM) de Okta ayuda a las organizaciones a gestionar el riesgo al incorporar las capacidades críticas de PAM a la solución principal de gestión de identidad y acceso, incluida la gestión del acceso privilegiado, el almacenamiento de credenciales y los informes de conformidad. Okta utiliza Nitro Enclaves para gestionar y almacenar de forma segura las credenciales de infraestructura de los clientes en sus respectivas soluciones PAM de Okta. La solución PAM de Okta aprovecha la ayuda de Nitro Enclave para gestionar las credenciales de los clientes en un entorno comprobado y certificado criptográficamente. Con AWS Nitro Enclaves, Okta protege a los clientes de los ataques como parte de nuestra arquitectura de defensa en profundidad. Okta espera ampliar las capacidades de Okta Privileged Access además de Nitro Enclaves y seguir creando una base segura para proteger el acceso al ecosistema de clientes".
Smitha Prasad, directora de ingeniería de Okta