AWS Nitro Enclaves

Créer une isolation supplémentaire pour protéger davantage les données hautement sensibles au sein d'instances EC2

AWS Nitro Enclaves permet aux clients de créer des environnements de calcul isolés pour mieux protéger et traiter en toute sécurité des données très sensibles telles que des informations d'identification personnelle, ainsi que des données médicales, financières et de propriété intellectuelle au sein de leurs instances Amazon EC2. Nitro Enclaves utilise la même technologie Hyperviseur Nitro qui assure l'isolation de la mémoire et des processeurs pour les instances EC2.

Nitro Enclaves aide les clients à réduire la surface d'attaque pour leurs applications de traitement de données les plus sensibles. Enclaves offre un environnement isolé, renforcé et soumis à de strictes restrictions pour héberger des applications critiques pour la sécurité. Nitro Enclaves inclut une attestation cryptographique pour votre logiciel, afin que vous puissiez être sûr que seul le code autorisé est en cours d'exécution, ainsi qu'une intégration avec AWS Key Management Service, de sorte que seules vos enclaves puissent accéder à des informations sensibles.

Les enclaves sont des machines virtuelles associées à des instances EC2 et qui ne comportent aucun stockage persistant, aucun accès administrateur ou opérateur, et sécurisent uniquement la connectivité locale pour votre instance EC2.

Nitro_Enclaves_Icon

Avantages

Isolement et sécurité accrus

Les enclaves sont des machines virtuelles entièrement isolées, sans stockage persistant, sans accès opérateur ou administrateur et disposent uniquement d'une connectivité locale sécurisée. La communication entre votre instance et votre enclave se fait via un canal local sécurisé. Ces fonctionnalités permettent d'isoler l'enclave et votre logiciel, et de réduire considérablement la surface d'attaque.

Attestation cryptographique

L'attestation vous permet de vérifier que seul le code autorisé est en cours d'exécution dans votre enclave et de vérifier l'identité de l'enclave. Le processus d'attestation est réalisé via l'Hyperviseur Nitro, qui produit un document d'attestation signé permettant à l'enclave de prouver son identité à une autre partie ou à un service. Les documents d'attestation contiennent des détails sur la clé de l'enclave, tels que la clé publique de celle-ci, les hachages de l'image de l'enclave et des applications, etc. Nitro Enclaves inclut l'intégration d'AWS KMS, où KMS peut lire et vérifier ces documents d'attestation envoyés à partir de l'enclave.

Allocation de ressources flexible

Vous pouvez créer des enclaves avec différentes combinaisons de cœurs de processeur et de mémoire. Cela garantit que vous disposez de suffisamment de ressources pour exécuter la même mémoire ou les mêmes applications gourmandes en calcul que celles que vous utilisiez déjà sur vos instances EC2 existantes.

Fonctionnement

Diagram_Nitro-Enclaves (1)

Figure 1 : Nitro Enclaves utilise la même technologie Hyperviseur Nitro qui crée l'isolation de la mémoire et des processeurs parmi les instances EC2, afin de créer l'isolation entre Enclave et une instance EC2.