AWS Nitro Enclaves

Les enclaves sont des machines virtuelles totalement isolées, renforcées et fortement limitées. Elles n’ont pas de stockage constant, d’accès interactif ni de réseau externe. La communication entre votre instance et votre enclave se fait via un canal local sécurisé. Même un utilisateur racine ou un administrateur de l'instance ne pourra pas accéder à l'enclave via le protocole SSH.

Nitro Enclaves utilise l’isolation éprouvé de l’Hyperviseur Nitro pour isoler encore davantage le CPU et la mémoire de l’enclave des utilisateurs, des applications et des bibliothèques sur l’instance parent. Ces fonctionnalités permettent d'isoler l'enclave et votre logiciel, et de réduire considérablement la surface d'attaque.

L'attestation vous permet de vérifier l'identité de l'enclave et que seul le code autorisé est en cours d'exécution dans votre enclave. Le processus d'attestation est réalisé via l'Hyperviseur Nitro, qui produit un document d'attestation signé permettant à l'enclave de prouver son identité à une autre partie ou à un service. Les documents d'attestation contiennent des détails sur la clé de l'enclave, tels que la clé publique de celle-ci, les hachages de l'image de l'enclave et des applications, etc. Nitro Enclaves inclut l'intégration d'AWS KMS, où KMS peut lire et vérifier ces documents d'attestation envoyés à partir de l'enclave.

Nitro Enclaves sont flexibles. Vous pouvez créer des enclaves avec différentes combinaisons de cœurs de processeur et de mémoire. Cela garantit que vous disposez de suffisamment de ressources pour exécuter la même mémoire ou les mêmes applications gourmandes en calcul que celles que vous utilisiez déjà sur vos instances EC2 existantes. Nitro Enclaves sont indépendants des processeurs et peuvent être utilisés dans des instances équipées de processeurs de différents fabricants. Elles sont également compatibles avec n'importe quel langage de programmation ou framework. De plus, étant donné que de nombreuses composants de Nitro Enclaves sont en open source, le client peut même inspecter le code et le valider lui-même.

Les clients peuvent désormais isoler et utiliser des clés privées (par exemple SSL/TLS) dans une enclave, tout en empêchant les utilisateurs, les applications et les bibliothèques de l'instance parente de consulter ces clés. Normalement, ces clés privées sont stockées sur l'instance EC2 en texte clair.

AWS Certificate Manager (ACM) for Nitro Enclaves est une application d’enclaves qui vous permet d’utiliser les certificats SSL/TLS publics et privés avec vos applications et serveurs Web exécutés sur des instances Amazon EC2 avec AWS Nitro Enclaves.

La création de jeton est un processus qui convertit en un jeton des données très sensibles telles que les numéros de carte de crédit ou les données relatives aux soins de santé. Avec Nitro Enclaves, les clients peuvent exécuter l'application qui effectue cette conversion à l'intérieur d'une enclave. Les données chiffrées peuvent être envoyées à l'enclave, où elles sont déchiffrées puis traitées. L'instance EC2 parente ne pourra pas consulter ou accéder aux données sensibles tout au long de ce processus.

Grâce à la capacité d'attestation cryptographique de Nitro Enclaves, les clients peuvent configurer un calcul multipartite, où plusieurs parties peuvent se joindre et traiter des données hautement sensibles sans avoir à divulguer ou à partager les données réelles avec chaque partie individuelle. Le calcul multipartite peut également être effectué au sein de la même organisation pour établir la séparation des tâches.

« Anjuna a innové en proposant une solution d'entreprise prête à l'emploi pour protéger les ressources de grande valeur grâce à AWS Nitro Enclaves. Nos clients peuvent désormais configurer et gérer des environnements de calcul isolés dans EC2 pour traiter et renforcer les charges de travail cloud en quelques minutes, sans avoir à recoder ou à refactoriser les applications. Le logiciel Anjuna Confidential Computing, basé sur Nitro Enclaves, réduit la surface d'attaque des applications de traitement des données confidentielles et sensibles : données d'identification personnelle (PII), algorithmes brevetés, applications de calcul multipartite (MPC), bases de données et gestion de clés/secrets. AWS Nitro Enclaves permet aux logiciels d'Anjuna de mieux servir les clients des secteurs hautement réglementés, tels que les services financiers, la fintech, la cryptomonnaie, l'administration, les soins de santé et les fournisseurs de SaaS. »

Ayal Yogev, PDG et cofondateur d'Anjuna Security

« Une infrastructure hautement disponible et un validateur sécurisé sont importants pour des réseaux de cryptomonnaie durables (comme la chaîne Crypto.org). Un aspect clé qui nécessite particulièrement d'être sécurisé et renforcé est la signature des messages du protocole de consensus. AWS Nitro Enclaves et AWS KMS facilitent la mise à l'échelle, le déploiement et la gestion de ces processus de signature pour Crypto.com et nos partenaires externes au sein de nos infrastructures cloud. AWS Nitro Enclaves offre un renforcement et une isolation économiques pour une gestion sécurisée des clés. »

Tomas Tauber, responsable de la chaîne, Crypto.com

« La protection et le traitement des informations très sensibles telles que les données financières, de soins de santé, d'identité et propriétaires figurent parmi les principaux cas d'utilisation de l'infrastructure de chiffrement d' Evervault. Le moteur de chiffrement d'Evervault (E3), qui est le cœur d'Evervault, effectue toutes les opérations de chiffrement et gère les clés de chiffrement pour nos clients. E3 est conçu sur AWS Nitro Enclaves pour fournir un environnement de calcul isolé, robuste et hautement contraignant pour le traitement de données sensibles. Bâtir E3 sur Nitro signifie que nous pouvons garantir la sécurité grâce à l'attestation cryptographique et une fondation robuste pour tous les autres produits et services Evervault. Nitro Enclaves nous permet de fournir gratuitement un service hautement sécurisé, économique et évolutif à nos clients et capable de gérer des milliers d'opérations de chiffrement par seconde. »

Shane Curran, fondateur et président-directeur général (PDG), Evervault

« La mission de Footprint est de restaurer la confiance sur Internet, et notre première priorité est de nous assurer que nous utilisons l'architecture de coffre fort la plus sophistiquée et la plus robuste pour stocker, chiffrer et traiter les données financières et personnelles sensibles de nos clients et de leurs utilisateurs. Pour ce faire, nous avons conçu et construit l'infrastructure de coffre fort de Footprint sur AWS Nitro Enclaves en raison de la sécurité de classe mondiale qu'elle offre : la capacité d'exécuter du code signé et attesté par chiffrement dans un environnement isolé du processeur, de la mémoire et du réseau afin de réduire drastiquement la surface d'attaque et de fournir à nos clients une base de sécurité qui dépasse de loin les approches normales utilisées par les entreprises aujourd'hui. »

Alex Grinman, cofondateur et directeur technique de Footprint

« M10 Networks, Inc développe et déploie sa plateforme de registres M10, un service permettant de développer et de distribuer des monnaies numériques de banques centrales et des passifs réglementés tokenisés, sur AWS. La plateforme de registres utilise AWS Nitro Enclaves pour vérifier les signatures et la re-signature cryptographique des lots de transactions. En utilisant AWS Nitro Enclaves sur les dernières instances M6i d'AWS, M10 peut fournir une solution performante et rentable pour le marché des devises numériques. »

Sascha Wise, ingénieur fondateur de M10