AWS Nitro Enclaves
AWS Nitro Enclaves permet aux clients de créer des environnements de calcul isolés pour mieux protéger et traiter en toute sécurité des données très sensibles telles que des informations d'identification personnelle, ainsi que des données médicales, financières et de propriété intellectuelle au sein de leurs instances Amazon EC2. Nitro Enclaves utilise la même technologie Hyperviseur Nitro qui assure l'isolation de la mémoire et des processeurs pour les instances EC2.
Nitro Enclaves aide les clients à réduire la surface d'attaque pour leurs applications de traitement de données les plus sensibles. Enclaves offre un environnement isolé, renforcé et soumis à de strictes restrictions pour héberger des applications critiques pour la sécurité. Nitro Enclaves inclut une attestation cryptographique pour votre logiciel, afin que vous puissiez être sûr que seul le code autorisé est en cours d'exécution, ainsi qu'une intégration avec AWS Key Management Service, de sorte que seules vos enclaves puissent accéder à des informations sensibles.
Il n'y a pas de frais supplémentaires pour l'utilisation d'AWS Nitro Enclaves autres que l'utilisation d'instances Amazon EC2 et de tout autre service AWS utilisé avec Nitro Enclaves.
Avantages
Isolement et sécurité accrus
Les enclaves sont des machines virtuelles totalement isolées, renforcées et fortement limitées. Elles n’ont pas de stockage constant, d’accès interactif ni de réseau externe. La communication entre votre instance et votre enclave se fait via un canal local sécurisé. Même un utilisateur racine ou un administrateur de l'instance ne pourra pas accéder à l'enclave via le protocole SSH.
Nitro Enclaves utilise l’isolation éprouvé de l’Hyperviseur Nitro pour isoler encore davantage le CPU et la mémoire de l’enclave des utilisateurs, des applications et des bibliothèques sur l’instance parent. Ces fonctionnalités permettent d'isoler l'enclave et votre logiciel, et de réduire considérablement la surface d'attaque.
Attestation cryptographique
L'attestation vous permet de vérifier l'identité de l'enclave et que seul le code autorisé est en cours d'exécution dans votre enclave. Le processus d'attestation est réalisé via l'Hyperviseur Nitro, qui produit un document d'attestation signé permettant à l'enclave de prouver son identité à une autre partie ou à un service. Les documents d'attestation contiennent des détails sur la clé de l'enclave, tels que la clé publique de celle-ci, les hachages de l'image de l'enclave et des applications, etc. Nitro Enclaves inclut l'intégration d'AWS KMS, où KMS peut lire et vérifier ces documents d'attestation envoyés à partir de l'enclave.
Flexible
Nitro Enclaves sont flexibles. Vous pouvez créer des enclaves avec différentes combinaisons de cœurs de processeur et de mémoire. Cela garantit que vous disposez de suffisamment de ressources pour exécuter la même mémoire ou les mêmes applications gourmandes en calcul que celles que vous utilisiez déjà sur vos instances EC2 existantes. Nitro Enclaves sont indépendants des processeurs et peuvent être utilisés dans des instances équipées de processeurs de différents fabricants. Elles sont également compatibles avec n'importe quel langage de programmation ou framework. De plus, étant donné que de nombreuses composants de Nitro Enclaves sont en open source, le client peut même inspecter le code et le valider lui-même.
Fonctionnement
Figure 1 : Nitro Enclaves Fonctionnement Déroulement du processus
Figure 2 : Nitro Enclaves utilise la même technologie Hyperviseur Nitro qui crée l'isolation de la mémoire et des processeurs parmi les instances EC2, afin de créer l'isolation entre Enclave et une instance EC2.
Figure 3 : Une enclave est créée en partitionnant le CPU et la mémoire d'une instance EC2, appelée instance parente. Vous pouvez créer des enclaves avec différentes combinaisons de cœurs de processeur et de mémoire. Ci-dessus se trouve un exemple utilisant m5.4xlarge divisé en une instance parente (14 vCPU, 32 Go de mémoire) et Enclave (2 vCPU, 32 Go de mémoire). La communication entre l'instance parente et l'enclave se fait via une connexion locale sécurisée appelée vsock.
Cas d'utilisation
Sécurisation des clés privées
Les clients peuvent désormais isoler et utiliser des clés privées (par exemple SSL/TLS) dans une enclave, tout en empêchant les utilisateurs, les applications et les bibliothèques de l'instance parente de consulter ces clés. Normalement, ces clés privées sont stockées sur l'instance EC2 en texte clair.
AWS Certificate Manager (ACM) for Nitro Enclaves est une application d’enclaves qui vous permet d’utiliser les certificats SSL/TLS publics et privés avec vos applications et serveurs Web exécutés sur des instances Amazon EC2 avec AWS Nitro Enclaves.
Création de jeton
La création de jeton est un processus qui convertit en un jeton des données très sensibles telles que les numéros de carte de crédit ou les données relatives aux soins de santé. Avec Nitro Enclaves, les clients peuvent exécuter l'application qui effectue cette conversion à l'intérieur d'une enclave. Les données chiffrées peuvent être envoyées à l'enclave, où elles sont déchiffrées puis traitées. L'instance EC2 parente ne pourra pas consulter ou accéder aux données sensibles tout au long de ce processus.
Calcul multipartite
Grâce à la capacité d'attestation cryptographique de Nitro Enclaves, les clients peuvent configurer un calcul multipartite, où plusieurs parties peuvent se joindre et traiter des données hautement sensibles sans avoir à divulguer ou à partager les données réelles avec chaque partie individuelle. Le calcul multipartite peut également être effectué au sein de la même organisation pour établir la séparation des tâches.
Ressources
- Guide d'utilisation d'AWS Nitro Enclaves
- Démarrer avec Nitro Enclaves
- ACM pour Nitro Enclaves
- AWS Nitro Enclaves CLI
- AWS Nitro Enclaves NSM API
- AWS Nitro Enclaves SDK
- Blog : AWS Nitro Enclaves - Des environnements EC2 isolés pour traiter des données confidentielles
- Nouveautés : Nitro Enclaves
- Nouveautés : ACM pour Nitro Enclaves
Témoignages de clients
« ACINQ est l'un des principaux développeurs et opérateurs du Lightning Network, un réseau de paiement ouvert et performant basé sur le Bitcoin. En exécutant nos nœuds de paiement au sein d'AWS Nitro Enclaves, nous avons pu atteindre le haut niveau de protection dont nous avons besoin pour les clés privées qui contrôlent nos fonds sans pratiquement aucune modification de code. La possibilité d'exécuter des applications complexes attestées cryptographiquement dans AWS Nitro Enclaves change la donne du point de vue de la sécurité et nous permet de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'utilisation de portefeuilles matériels pour administrer nos systèmes. Grâce à AWS Nitro Enclaves, nous exploitons l'un des nœuds de paiement les plus sécurisés du réseau et prévoyons de transférer davantage de services vers AWS Nitro Enclaves afin de réduire la surface d'attaque de l'ensemble de notre système. »
Fabrice Drouin, cofondateur et directeur technique, ACINQ
« Anjuna a innové en proposant une solution d'entreprise prête à l'emploi pour protéger les ressources de grande valeur grâce à AWS Nitro Enclaves. Nos clients peuvent désormais configurer et gérer des environnements de calcul isolés dans EC2 pour traiter et renforcer les charges de travail cloud en quelques minutes, sans avoir à recoder ou à refactoriser les applications. Le logiciel Anjuna Confidential Computing, basé sur Nitro Enclaves, réduit la surface d'attaque des applications de traitement des données confidentielles et sensibles : données d'identification personnelle (PII), algorithmes brevetés, applications de calcul multipartite (MPC), bases de données et gestion de clés/secrets. AWS Nitro Enclaves permet aux logiciels d'Anjuna de mieux servir les clients des secteurs hautement réglementés, tels que les services financiers, la fintech, la cryptomonnaie, l'administration, les soins de santé et les fournisseurs de SaaS. »
Ayal Yogev, PDG et cofondateur d'Anjuna Security
« Cape Privacy se concentre sur la sécurité et la confidentialité des données pour l'IA qui tire parti du cloud. Les entreprises peuvent utiliser l'API Cape pour exploiter la puissance des grands modèles de langage contre une base de connaissances personnalisée qui peut inclure des données sensibles ou confidentielles. L'API Cape est conçue pour assurer la confidentialité des données des clients sans compromettre la valeur de l'utilisation d'un grand modèle de langage. Les clients qui utilisent les modèles Cape sur Amazon EC2 peuvent être confiants dans l'approche de Cape Privacy pour protéger leurs données sensibles, car ils utilisent AWS Nitro Enclaves en plus d'AWS Nitro System avec diverses techniques de traitement des données préservant la vie privée pour s'assurer que personne ne puisse jamais voir vos données. »
Ché Wijesinghe, PDG de Cape Privacy
« Une infrastructure hautement disponible et un validateur sécurisé sont importants pour des réseaux de cryptomonnaie durables (comme la chaîne Crypto.org). Un aspect clé qui nécessite particulièrement d'être sécurisé et renforcé est la signature des messages du protocole de consensus. AWS Nitro Enclaves et AWS KMS facilitent la mise à l'échelle, le déploiement et la gestion de ces processus de signature pour Crypto.com et nos partenaires externes au sein de nos infrastructures cloud. AWS Nitro Enclaves offre un renforcement et une isolation économiques pour une gestion sécurisée des clés. »
Tomas Tauber, responsable de la chaîne, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
« En tant que gestionnaire de mots de passe, Dashlane est chargé de sécuriser certaines des données les plus sensibles pour les entreprises. Grâce à AWS Nitro Enclaves, nos clients peuvent réduire de moitié le temps de configuration de leur intégration, tout en garantissant le plus haut niveau de sécurité. AWS Nitro Enclaves offre un moyen innovant d'isoler complètement les clés de chiffrement, permettant aux entreprises d'être sûres que leurs données sont privées et protégées, et qu'aucune partie non autorisée, y compris Dashlane, ne peut voir ou accéder aux clés. »
Frédéric Rivain, directeur de la technologie, Dashlane
« La protection et le traitement des informations très sensibles telles que les données financières, de soins de santé, d'identité et propriétaires figurent parmi les principaux cas d'utilisation de l'infrastructure de chiffrement d' Evervault. Le moteur de chiffrement d'Evervault (E3), qui est le cœur d'Evervault, effectue toutes les opérations de chiffrement et gère les clés de chiffrement pour nos clients. E3 est conçu sur AWS Nitro Enclaves pour fournir un environnement de calcul isolé, robuste et hautement contraignant pour le traitement de données sensibles. Bâtir E3 sur Nitro signifie que nous pouvons garantir la sécurité grâce à l'attestation cryptographique et une fondation robuste pour tous les autres produits et services Evervault. Nitro Enclaves nous permet de fournir gratuitement un service hautement sécurisé, économique et évolutif à nos clients et capable de gérer des milliers d'opérations de chiffrement par seconde. »
Shane Curran, fondateur et président-directeur général (PDG), Evervault
« La mission de Footprint est de restaurer la confiance sur Internet, et notre première priorité est de nous assurer que nous utilisons l'architecture de coffre fort la plus sophistiquée et la plus robuste pour stocker, chiffrer et traiter les données financières et personnelles sensibles de nos clients et de leurs utilisateurs. Pour ce faire, nous avons conçu et construit l'infrastructure de coffre fort de Footprint sur AWS Nitro Enclaves en raison de la sécurité de classe mondiale qu'elle offre : la capacité d'exécuter du code signé et attesté par chiffrement dans un environnement isolé du processeur, de la mémoire et du réseau afin de réduire drastiquement la surface d'attaque et de fournir à nos clients une base de sécurité qui dépasse de loin les approches normales utilisées par les entreprises aujourd'hui. »
Alex Grinman, cofondateur et directeur technique de Footprint
« M10 Networks, Inc développe et déploie sa plateforme de registres M10, un service permettant de développer et de distribuer des monnaies numériques de banques centrales et des passifs réglementés tokenisés, sur AWS. La plateforme de registres utilise AWS Nitro Enclaves pour vérifier les signatures et la re-signature cryptographique des lots de transactions. En utilisant AWS Nitro Enclaves sur les dernières instances M6i d'AWS, M10 peut fournir une solution performante et rentable pour le marché des devises numériques. »
Sascha Wise, ingénieur fondateur de M10