AWS Nitro Enclaves
AWS Nitro Enclaves memungkinkan pelanggan menciptakan lingkungan komputasi terisolasi untuk melindungi dan memroses data sangat sensitif dengan aman seperti informasi pengidentifikasi pribadi (PII), layanan kesehatan, keuangan, dan hak intelektual pada instans Amazon EC2 mereka. Nitro Enclaves menggunakan teknologi Hypervisor Nitro yang sama yang memberikan isolasi CPU dan memori untuk instans EC2.
Nitro Enclave membantu pelanggan mengurangi luas permukaan serangan untuk aplikasi pemrosesan data paling sensitif. Enclaves menawarkan lingkungan terisolasi, diperkeras, dan sangat terbatas untuk meng-hosting aplikasi vital keamanan. Nitro Enclaves menyertakan pengesahan kriptografis untuk perangkat lunak Anda, sehingga Anda dapat yakin bahwa hanya kode yang diizinkan saja yang berjalan, juga integrasi dengan AWS Key Management Service, sehingga hanya enclaves Anda yang dapat mengakses materi sensitif.
Tidak ada biaya tambahan untuk menggunakan AWS Nitro Enclaves selain penggunaan instans Amazon EC2 dan layanan AWS lainnya yang digunakan dengan Nitro Enclaves.
Manfaat
Isolasi dan keamanan tambahan
Enklaves adalah mesin virtual terisolasi penuh, diperkuat, dan sangat dibatasi. Mereka tidak memiliki penyimpanan persisten, tidak ada akses interaktif, dan tidak ada jaringan eksternal. Komunikasi antara instans Anda dan enclave Anda dilakukan dengan menggunakan saluran lokal yang aman. Bahkan pengguna root atau pengguna admin pada instans tidak akan dapat mengakses atau SSH ke enclave.
Nitro Enclaves menggunakan isolasi Hypervisor Nitro yang telah terbukti untuk lebih mengisolasi CPU dan memori enclave dari pengguna, aplikasi, dan pustaka pada instans induk. Fitur-fitur ini membantu mengisolasi enclave dan perangkat lunak Anda, dan secara signifikan mengurangi luas permukaan serangan.
Pengesahan kriptografi
Pengesahan memungkinkan verifikasi bahwa hanya kode resmi yang berjalan di enclave Anda, dan verifikasi identitas enclave itu sendiri. Proses pengesahan dilakukan melalui Hypervisor Nitro, yang menghasilkan dokumen pengesahan bertandatangan agar enclave dapat membuktikan identitasnya kepada pihak atau layanan lain. Dokumen pengesahan berisi perincian kunci enclave seperti kunci publik enclave, hash citra enclave dan aplikasi, dan banyak lagi. Nitro Enclaves mencakup integrasi AWS KMS, di mana KMS dapat membaca dan memverifikasi dokumen pengesahan yang dikirim dari enclave.
Fleksibel
Nitro Enclaves bersifat fleksibel. Anda dapat membuat enclaves dengan berbagai kombinasi core dan memori CPU. Ini memastikan Anda memiliki cukup sumber daya untuk menjalankan memori yang sama atau menghitung aplikasi intensif yang sudah Anda jalankan pada instans EC2 yang ada. Nitro Enclaves adalah prosesor agnostik, dan dapat digunakan di seluruh instans yang didukung berbagai vendor CPU. Juga kompatibel dengan bahasa pemrograman atau kerangka kerja apa pun. Selain itu, karena banyak komponen Nitro Enclaves bersumber terbuka, pelanggan bahkan dapat memeriksa kode dan memvalidasinya sendiri.
Cara kerjanya
Gambar 1: Alur Proses Cara Kerja Nitro Enclaves
Gambar 2: Nitro Enclaves menggunakan teknologi Hypervisor Nitro yang sama yang menciptakan isolasi CPU dan memori di antara instans EC2, untuk membuat isolasi antara Enclave dan instans EC2.
Gambar 3: Enclave dibuat dengan mempartisi CPU dan memori instans EC2, yang disebut instans induk. Anda dapat membuat enclaves dengan berbagai kombinasi core dan memori CPU. Di atas adalah contoh penggunaan pemisahan m5.4xlarge menjadi instans induk (14 vCPU, Memori 32 GiB) dan Enclave (2 vCPU, Memori 32 GiB). Komunikasi antara instans induk dan enclave dilakukan melalui koneksi lokal aman yang disebut vsock.
Kasus penggunaan
Mengamankan Kunci Pribadi
Pelanggan kini dapat mengisolasi dan menggunakan kunci pribadi (misalnya SSL/TLS) dalam suatu enclave, sekaligus mencegah pengguna, aplikasi, dan pustaka pada instans induk melihat kunci tersebut. Biasanya, kunci pribadi ini disimpan di instans EC2 dalam teks biasa.
AWS Certificate Manager (ACM) untuk Nitro Enclaves adalah aplikasi enclave yang memungkinkan Anda menggunakan sertifikat SSL/TLS publik dan pribadi dengan aplikasi web dan server Anda yang berjalan pada instans Amazon EC2 dengan AWS Nitro Enclaves.
Tokenisasi
Tokenisasi adalah proses yang mengubah data yang sangat sensitif seperti nomor kartu kredit atau data layanan kesehatan menjadi token. Dengan Nitro Enclaves, pelanggan dapat menjalankan aplikasi yang melakukan konversi ini di dalam suatu enclave. Data terenkripsi dapat dikirim ke enclave, di mana data tersebut didekripsi dan kemudian diproses. Instans EC2 induk tidak akan dapat melihat atau mengakses data sensitif selama proses ini.
Komputasi multi-pihak
Dengan menggunakan kemampuan pengesahan kriptografi Nitro Enclaves, pelanggan dapat menyiapkan komputasi multi-pihak, di mana beberapa pihak dapat bergabung dan memproses data yang sangat sensitif tanpa harus mengungkapkan atau membagikan data aktual kepada masing-masing pihak. Komputasi multi-pihak juga dapat dilakukan di organisasi yang sama untuk menetapkan pemisahan tugas.
Sumber daya
- Panduan Pengguna AWS Nitro Enclaves
- Mulai Menggunakan Nitro Enclaves
- ACM untuk Nitro Enclaves
- CLI AWS Nitro Enclaves
- API NSM AWS Nitro Enclaves
- SDK AWS Nitro Enclaves
- Blog: AWS Nitro Enclaves – Lingkungan EC2 Terisolasi untuk Memproses Data Rahasia
- Yang Baru: Nitro Enclaves
- Yang Baru: ACM untuk Nitro Enclaves
Kisah pelanggan
"ACINQ adalah salah satu developer dan operator utama Lightning Network, jaringan pembayaran terbuka performa tinggi berdasarkan Bitcoin. Dengan menjalankan simpul pembayaran di dalam AWS Nitro Enclaves, kami dapat mencapai tingkat perlindungan tinggi yang dibutuhkan untuk kunci privat yang mengontrol dana hampir tanpa modifikasi kode. Kemampuan untuk menjalankan aplikasi yang kompleks dan teruji secara kriptografis di dalam AWS Nitro Enclaves adalah pembawa perubahan dari sudut pandang keamanan dan memungkinkan kami menerapkan langkah-langkah keamanan ekstra seperti penggunaan dompet perangkat keras untuk mengelola sistem. Dengan AWS Nitro Enclaves, kami mengoperasikan salah satu simpul pembayaran paling aman di jaringan dan berencana untuk memindahkan lebih banyak layanan ke AWS Nitro Enclaves untuk mengurangi permukaan serangan sistem kami secara keseluruhan."
Fabrice Drouin, Co-Founder dan CTO, ACINQ
“Anjuna berinovasi dengan cara korporasi siap untuk melindungi aset bernilai tinggi dengan memanfaatkan AWS Nitro Enclaves. Sekarang pelanggan kami dapat mengatur dan mengelola lingkungan komputasi yang terisolasi di EC2 untuk memproses serta memperkuat beban kerja cloud dalam hitungan menit tanpa pengodean ulang atau pemfaktoran ulang aplikasi. Perangkat lunak Anjuna Confidential Computing, dibangun di atas Nitro Enclaves, mengurangi permukaan serangan untuk aplikasi pemrosesan data rahasia dan sensitif: informasi pengenal pribadi (PII), algoritme kepemilikan, aplikasi komputasi multipihak (MPC), basis data, serta manajemen kunci/rahasia. AWS Nitro Enclaves memungkinkan perangkat lunak Anjuna untuk melayani pelanggan dengan lebih baik di industri yang sangat diatur seperti jasa keuangan, fintech, crypto, pemerintah, pemeliharaan kesehatan, dan penyedia SaaS.”
Ayal Yogev, CEO dan Co-founder, Anjuna Security
"Cape Privacy fokus pada keamanan dan privasi data untuk AI yang memanfaatkan cloud. Beberapa perusahaan dapat menggunakan API Cape untuk memanfaatkan kekuatan Model Bahasa Besar terhadap basis pengetahuan khusus yang dapat mencakup data sensitif atau rahasia. API Cape dirancang untuk memberikan privasi pada data pelanggan tanpa mengorbankan nilai menggunakan Model Bahasa Besar. Pelanggan yang menggunakan model Cape di Amazon EC2 dapat mengandalkan pendekatan Cape Privacy untuk melindungi data sensitif karena mereka menggunakan AWS Nitro Enclaves di atas AWS Nitro System dengan berbagai teknik pemrosesan data yang menjaga privasi untuk memastikan bahwa tidak ada yang dapat melihat data Anda."
Ché Wijesinghe, CEO, Cape Privacy
"Infrastruktur validator yang sangat tersedia dan aman sangatlah penting untuk jaringan mata uang kripto yang berkelanjutan (seperti Rantai Crypto.org). Secara khusus, satu aspek utama yang perlu diamankan dan diperkuat adalah penandatanganan pesan protokol konsensus. Dalam infrastruktur cloud kami, AWS Nitro Enclaves dan AWS KMS memudahkan Crypto.com dan partner eksternal kami untuk menskalakan, menerapkan, dan mengelola proses penandatanganan ini. AWS Nitro Enclaves menghadirkan penguatan dan isolasi yang hemat biaya bagi manajemen kunci yang aman.”
Tomas Tauber, Chain Lead, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
"Sebagai Password Manager, Dashlane bertanggung jawab untuk mengamankan beberapa data paling sensitif untuk organisasi. Dengan AWS Nitro Enclaves, pelanggan kami dapat memangkas setengah waktu penyiapan integrasi mereka, sekaligus memastikan tingkat keamanan tertinggi. AWS Nitro Enclaves menawarkan cara inovatif untuk sepenuhnya mengisolasi kunci enkripsi sehingga memungkinkan organisasi tetap yakin bahwa data mereka privat dan terlindungi, serta bahwa tidak ada pihak yang tidak berwenang, termasuk Dashlane, yang dapat melihat atau mengakses kunci."
Frederic Rivain, Chief Technology Officer, Dashlane
"Melindungi dan memproses informasi yang sangat sensitif seperti keuangan, perawatan kesehatan, identitas, dan data kepemilikan merupakan salah satu contoh kasus penggunaan utama untuk infrastruktur enkripsi Evervault. Inti dari Evervault adalah Evervault Encryption Engine (E3) kami, yang melakukan semua operasi kriptografi dan menangani kunci enkripsi untuk para pelanggan kami. E3 dikembangkan di atas AWS Nitro Enclaves yang menyediakan lingkungan komputasi yang terisolasi, diperkuat, dan sangat dibatasi untuk memproses data yang bersifat sensitif. Dengan mengembangkan E3 di Nitro Enclaves memungkinkan kami untuk menghadirkan keamanan melalui pengesahan kriptografik, dan fondasi yang kuat untuk semua produk dan layanan Evervault lainnya. Nitro Enclaves memungkinkan kami untuk menghadirkan layanan yang sangat aman, hemat biaya, dan terukur kepada para pelanggan kami tanpa biaya tambahan; layanan yang mampu menangani ribuan operasi kriptografi per detik.”
Shane Curran, Pendiri & CEO, Evervault
"Misi Footprint adalah mengembalikan kepercayaan terhadap internet, dan prioritas utama kami adalah memastikan bahwa kami menggunakan arsitektur vaulting yang paling canggih dan tangguh untuk menyimpan, mengenkripsi, dan memproses data keuangan dan pribadi yang sensitif bagi pelanggan kami dan penggunanya. Untuk mencapai hal ini, kami telah merancang dan membangun infrastruktur vaulting inti Footprint di atas AWS Nitro Enclaves karena keamanan kelas dunia yang disediakannya: kemampuan untuk menjalankan kode yang ditandatangani dan disahkan secara kriptografis di CPU, memori, dan lingkungan yang terisolasi jaringan untuk secara masif menurunkan area permukaan serangan dan menyediakan dasar keamanan bagi pelanggan kami yang jauh melampaui pendekatan normal yang digunakan bisnis saat ini.”
Alex Grinman, Co-founder & CTO Footprint
"Fortanix, pelopor dalam komputasi rahasia, memberdayakan kolaborasi data multipihak, machine learning gabungan, dan kasus penggunaan pencarian data rahasia. Pelanggan Fortanix dapat menggunakan Manajer Komputasi Rahasia untuk mengangkat dan menggeser aplikasi rahasianya dan menjalankannya di rangkaian luas AWS Nitro Enclaves yang diaktifkan pada instans Amazon Elastic Compute Cloud (Amazon EC2) guna memastikan data sensitif tetap terlindungi selama penggunaan. Fortanix membantu pelanggan di berbagai industri termasuk layanan kesehatan, fintech, jasa keuangan, dan manufaktur untuk mempercepat migrasi AWS mereka dengan keamanan yang ditingkatkan dan data yang dilindungi di seluruh siklus hidup datanya—saat diam, bergerak, dan digunakan."
Anand Kashyap, CEO, Fortanix
"Itaú Digital Assets adalah unit bisnis Itaú Unibanco yang bertanggung jawab atas pengembangan solusi menggunakan teknologi blockchain. Dalam konteks ini, Nitro Enclaves telah membantu kami menciptakan lingkungan yang aman untuk manipulasi kunci kriptografi layanan penyimpanan aset kripto kami, dengan menambahkan lapisan perlindungan lain untuk memproses data sambil mengurangi permukaan serangan pada saat yang bersamaan. Perlindungan tingkat tinggi ini adalah faktor kunci yang memungkinkan pelaksanaan solusi kompleks yang terkait dengan keunggulan dalam keamanan, salah satu pilar utama lembaga kami."
Carlos Eduardo Mazzei, Chief Technology Officer di Itaú Unibanco
"M10 Networks, Inc mengembangkan dan men- deploy Platform Buku Besar M10 mereka, layanan untuk mengembangkan dan mendistribusikan mata uang digital bank sentral dan kewajiban yang diatur dengan token, di AWS. Platform Buku Besar menggunakan AWS Nitro Enclaves untuk melakukan verifikasi tanda tangan dan tanda tangan ulang secara kriptografis dari kumpulan transaksi. Menggunakan AWS Nitro Enclaves di instans M6i terbaru AWS, M10 mampu memberikan solusi yang berfungsi baik dan efektif biaya untuk pasar mata uang digital.”
Sascha Wise, M10 Founding Engineer
“Okta, sebuah perusahaan Identitas sebagai Layanan (IDaaS), membantu menghubungkan siapa pun dengan aplikasi apa pun di perangkat apa pun. Okta menyediakan layanan manajemen identitas tingkat korporasi untuk pelanggan di cloud atau menggunakan aplikasi on-premise. Solusi Manajemen Akses Istimewa (PAM) Okta membantu organisasi mengelola risiko dengan menghadirkan kemampuan PAM yang penting ke dalam solusi Identitas dan Manajemen Akses inti, termasuk manajemen akses istimewa, penyimpanan kredensial, dan pelaporan kepatuhan. Okta menggunakan Nitro Enclaves untuk mengelola dan menyimpan kredensial infrastruktur pelanggan dengan aman dalam solusi PAM Okta masing-masing. Solusi PAM Okta memanfaatkan bantuan Nitro Enclaves untuk mengelola kredensial pelanggan dalam lingkungan yang diperiksa dan dibuktikan secara kriptografis. Menggunakan AWS Nitro Enclaves, Okta melindungi pelanggan dari serangan sebagai bagian dari arsitektur pertahanan mendalam kami. Okta berharap dapat memperluas kemampuan Akses Istimewa Okta di atas Nitro Enclaves yang terus membangun fondasi yang aman untuk melindungi akses ke ekosistem pelanggan."
Smitha Prasad, Director of Engineering, Okta