AWS Nitro Enclaves
AWS Nitro Enclaves consente ai clienti di creare ambienti di calcolo isolati per proteggere ulteriormente ed elaborare in modo sicuro dati altamente sensibili come informazioni che consentono l'identificazione personale (PII), dati proprietari su sanità, finanza e proprietà intellettuale nell'ambito delle rispettive istanze Amazon EC2. Nitro Enclaves utilizza la stessa tecnologia Nitro Hypervisor che assicura l'isolamento di CPU e memoria per le istanze EC2.
Nitro Enclaves consente ai clienti di ridurre l'area della superficie di attacco per le applicazioni di elaborazione dei dati più sensibili. Enclaves offre un ambiente isolato, irrobustito e altamente vincolato per l'hosting di applicazioni security-critical. Nitro Enclaves include l'attestazione crittografica per il tuo software, affinché tu possa essere certo che soltanto il codice autorizzato sia in esecuzione, oltre all'integrazione con AWS Key Management Service, in modo che solo le tue enclave possano accedere al materiale sensibile.
Per AWS Nitro Enclaves non sono previsti costi aggiuntivi a quelli per l'utilizzo delle istanze Amazon EC2 ed eventuali altri servizi AWS implementati con Nitro Enclaves.
Vantaggi
Un maggiore livello di isolamento e sicurezza
Le enclavi sono macchine virtuali completamente isolate, solide e altamente vincolate. Non dispongono di storage persistente, né di accesso interattivo, né di connessione a reti esterne. La comunicazione tra la tua istanza e la tua enclave avviene attraverso un canale locale sicuro. Nemmeno gli utenti root o gli amministratori dell'istanza saranno in grado di accedere all'enclave o di collegarvisi attraverso il protocollo SSH.
Nitro Enclaves utilizza l'isolamento di comprovata efficacia dell'hypervisor Nitro per isolare ulteriormente la CPU e la memoria dell'enclave da utenti, applicazioni e librerie nell'istanza madre. Queste funzionalità ci consentono di isolare l'enclave e il tuo software e di ridurre sensibilmente l'area della superficie di attacco.
Attestazione crittografica
L'attestazione consente di verificare l'identità dell'enclave e che soltanto il codice autorizzato venga eseguito nella tua enclave. Il processo di attestazione viene eseguito attraverso l'hypervisor Nitro, che produce un documento di attestazione firmato per l'enclave in modo da dimostrarne l'identità a un'altra parte o a un altro servizio. I documenti di attestazione contengono dettagli chiave dell'enclave come la relativa chiave pubblica, le hash dell'immagine e delle applicazioni dell'enclave e molto altro. Nitro Enclaves prevede l'integrazione con AWS KMS, dove KMS è in grado di leggere e verificare questi documenti di attestazione inviati dall'enclave.
Flessibilità
Nitro Enclaves è un sistema flessibile. Puoi creare enclave con combinazioni diverse di core e memoria CPU. In tal modo avrai a disposizione risorse sufficienti per eseguire la stessa memoria o le stesse applicazioni a elaborazione intensiva che erano già in esecuzione sulle tue istanze EC2 esistenti. Le enclavi Nitro sono indipendenti dal processore e utilizzabili con istanze offerte da vari fornitori di CPU. Sono inoltre compatibili con qualsiasi linguaggio o framework di programmazione. In più, dal momento che molti componenti di Nitro Enclaves sono open source, i clienti possono esaminare il codice e convalidarlo in prima persona.
Come funziona
Figura 1: Schema di processo del funzionamento di Nitro Enclaves
Figura 2: Nitro Enclaves utilizza la stessa tecnologia di hypervisor Nitro che crea la CPU e l'isolamento di memoria tra le istanze EC2 per creare l'isolamento tra un enclave e un'istanza EC2.
Figura 3: Un'enclave viene creata attraverso il partizionamento della CPU e della memoria di un'istanza EC2, denominata istanza madre. Puoi creare enclave con combinazioni diverse di core e memoria CPU. Sopra è riportato un esempio che utilizza una suddivisione m5.4xlarge in un'istanza madre (14 vCPU, 32 GiB di memoria) e un'enclave (2 vCPU, 32 GiB di memoria). La comunicazione tra l'istanza madre e l'enclave avviene attraverso una connessione locale sicura denominata vsock.
Casi d'uso
Protezione delle chiavi private
I clienti possono ora isolare e utilizzare chiavi private (ad esempio SSL/TLS) in un'enclave e, allo stesso tempo, impedire a utenti, applicazioni e librerie sull'istanza madre di vederle. In genere, queste chiavi private sono archiviate nell'istanza EC2 come testo semplice.
AWS Certificate Manager (ACM) per Nitro Enclaves è un'applicazione per enclavi che consente di utilizzare certificati SSL/TLS pubblici e private con le proprie applicazioni Web e i propri server su istanze Amazon EC2 con AWS Nitro Enclaves.
Tokenizzazione
La tokenizzazione è un processo che converte dati ad alta sensibilità quali numeri di carte di credito o dati sanitari in un token. Con Nitro Enclaves, i clienti possono eseguire l'applicazione destinata alla conversione all'interno di un'enclave. I dati crittografati possono essere inviati all'enclave e qui decrittografati ed elaborati. Durante l'intero processo, i dati sensibili non saranno disponibili per la visualizzazione o l'accesso da parte dell'istanza EC2 madre.
Calcolo multilaterale
Grazie alla funzione di attestazione crittografica di Nitro Enclaves, gli utenti possono impostare calcoli multilaterali, in cui diversi soggetti possono partecipare all'elaborazione dei dati ad alta sensibilità senza dover divulgare e condividere i dati effettivi a ogni singolo soggetto. Il calcolo multilaterale è anche eseguibile all'interno della stessa organizzazione per stabilire la separazione delle attività.
Risorse
- Guida per l’utente di AWS Nitro Enclaves
- Nozioni di base su Nitro Enclaves
- ACM per Nitro Enclaves
- CLI di AWS Nitro Enclaves
- API NSM di AWS Nitro Enclaves
- SDK di AWS Nitro Enclaves
- Blog: AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data
- Novità: Nitro Enclaves
- Novità: ACM per Nitro Enclaves
Testimonianze dei clienti
"ACINQ è uno dei principali sviluppatori e operatori di Lightning Network, una rete di pagamento aperta e ad alte prestazioni basata su Bitcoin. Eseguendo i nostri nodi di pagamento all'interno di AWS Nitro Enclaves, siamo riusciti a raggiungere l'elevato livello di protezione di cui abbiamo bisogno per le chiavi private che controllano i nostri fondi senza quasi nessuna modifica al codice. La capacità di eseguire applicazioni complesse e certificate crittograficamente all'interno di AWS Nitro Enclaves è un punto di svolta dal punto di vista della sicurezza e ci consente di implementare misure di sicurezza aggiuntive come l'uso di portafogli hardware per amministrare i nostri sistemi. Utilizzando AWS Nitro Enclaves, gestiamo uno dei nodi di pagamento più sicuri della rete e prevediamo di spostare più servizi su AWS Nitro Enclaves per ridurre la superficie di attacco del nostro sistema complessivo".
Fabrice Drouin, cofondatore e CTO, ACINQ
"Anjuna ha innovato la modalità enterprise-ready per proteggere le risorse di alto valore sfruttando AWS Nitro Enclaves. Ora i nostri clienti possono configurare e gestire ambienti di calcolo isolati in EC2 per elaborare e rafforzare i carichi di lavoro cloud in pochi minuti senza ricodificare o rifattorizzare (riprogettare) le applicazioni. Anjuna Confidential Computing Software, basato su Nitro Enclaves, riduce la superficie di attacco per le applicazioni di elaborazione dati riservati e sensibili: informazioni personali di identificazione (PII), algoritmi proprietari, applicazioni di calcolo multi-parti (MPC), database e gestione di chiavi/segreti. AWS Nitro Enclaves consente al software di Anjun di servire meglio i clienti in settori altamente regolamentati come servizi finanziari, fintech, criptovalute, governo, assistenza sanitaria e provider SaaS".
Ayal Yogev, CEO e cofondatore, Anjuna Security
"Cape Privacy si concentra sulla sicurezza e sulla privacy dei dati per l'IA che sfrutta il cloud. Le aziende possono utilizzare l’API Cape per sfruttare la potenza dei modelli linguistici di grandi dimensioni su una base di conoscenza personalizzata che può includere dati sensibili o riservati. L'API Cape è progettata per garantire la privacy dei dati dei clienti senza compromettere il valore dell'utilizzo di un modello linguistico di grandi dimensioni. I clienti che utilizzano i modelli Cape su Amazon EC2 possono contare sull'approccio di Cape Privacy per proteggere i propri dati sensibili perché utilizzano AWS Nitro Enclaves su AWS Nitro System con varie tecniche di elaborazione dei dati che preservano la privacy per garantire che nessuno possa mai vedere i tuoi dati".
Ché Wijesinghe, amministratore delegato, Cape Privacy
"Un'infrastruttura di validazione altamente disponibile e sicura è fondamentale per reti di criptovalute sostenibili (come la catena Crypto.org). In particolare, un aspetto chiave che deve essere protetto e rinforzato è la firma dei messaggi del protocollo di consenso. All'interno della nostra infrastruttura cloud, AWS Nitro Enclaves e AWS KMS semplificano la scalabilità, l’implementazione e la gestione di questi processi di firma a Crypto.com e ai partner esterni. AWS Nitro Enclaves fornisce consolidamento e un isolamento economico per una gestione sicura delle chiavi".
Tomas Tauber, Chain Lead, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
"In quanto gestore di password, Dashlane è responsabile della protezione di alcuni dei dati più sensibili delle organizzazioni. Utilizzando AWS Nitro Enclaves, i nostri clienti possono dimezzare i tempi di configurazione dell'integrazione, garantendo al contempo il massimo livello di sicurezza. AWS Nitro Enclaves offre un modo innovativo per isolare completamente le chiavi di crittografia, consentendo alle organizzazioni di avere la certezza che i propri dati restino privati e protetti, e che nessuna parte non autorizzata, inclusa Dashlane, possa visualizzare o accedere alle chiavi."
Frederic Rivain, Chief Technology Officer, Dashlane
"La protezione e l'elaborazione di informazioni altamente sensibili come i dati finanziari, sanitari, di identità e proprietari è uno dei principali casi d'uso dell'infrastruttura di crittografia di Evervault. Al centro di Evervault c'è il nostro Evervault Encryption Engine (E3), che esegue tutte le operazioni crittografiche e gestisce le chiavi di crittografia per i nostri clienti. E3 è costruito su AWS Nitro Enclaves, che fornisce un ambiente di calcolo isolato, consolidato e altamente vincolato per l'elaborazione di dati sensibili. Costruire E3 su Nitro Enclaves significa che possiamo fornire sia la sicurezza attraverso l'attestazione crittografica, sia una solida base per tutti gli altri prodotti e servizi Evervault. Senza costi aggiuntivi, Nitro Enclaves ci permette di offrire un servizio altamente sicuro, conveniente e scalabile ai nostri clienti; un servizio capace di gestire migliaia di operazioni di crittografia al secondo".
Shane Curran, fondatore e CEO, Evervault
"La missione di Footprint è riportare la fiducia in Internet e la nostra prima priorità è assicurarci di utilizzare l'architettura di vaulting più sofisticata e robusta per archiviare, crittografare ed elaborare dati finanziari e personali sensibili per i nostri clienti e i loro utenti. Per raggiungere questo obiettivo, abbiamo progettato e costruito l'infrastruttura di vaulting principale di Footprint su AWS Nitro Enclaves grazie alla sicurezza di livello mondiale che fornisce: la capacità di eseguire codice firmato e attestato crittograficamente in un ambiente isolato da CPU, memoria e rete per ridurre notevolmente la superficie di attacco e fornire ai nostri clienti una base di sicurezza che supera di gran lunga i normali approcci utilizzati oggi dalle aziende”.
Alex Grinman, co-fondatore e CTO di Footprint
"Itaú Digital Assets è la business unit di Itaú Unibanco responsabile dello sviluppo di soluzioni che utilizzano la tecnologia blockchain. In questo contesto, Nitro Enclaves ci ha aiutato a creare un ambiente sicuro per la manipolazione delle chiavi crittografiche dei nostri servizi di custodia di criptovalute, aggiungendo un ulteriore livello di protezione per l'elaborazione dei dati e riducendo allo stesso tempo la superficie di attacco. Questo elevato livello di protezione è stato un fattore chiave che ha consentito l'esecuzione di soluzioni complesse associate all'eccellenza nella sicurezza, uno dei pilastri principali della nostra istituzione."
Carlos Eduardo Mazzei, Chief Technology Officer presso Itaú Unibanco
"M10 Networks, Inc sviluppa ed implementa la sua piattaforma M10 Ledger, un servizio per sviluppare e distribuire valute digitali delle banche centrali e debiti regolati tokenizzati, in AWS. La piattaforma Ledger utilizza AWS Nitro Enclaves per eseguire verifiche di firma e re-signing crittografici di batch di transazioni. Utilizzando AWS Nitro Enclaves nelle ultime istanze M6i di AWS, M10 è capace di offrire una soluzione performante e conveniente per il mercato della valuta digitale".
Sascha Wise, M10 Founding Engineer
"Okta, una società di Identity as a Service (IDaaS), aiuta a connettere qualsiasi persona con qualsiasi applicazione su qualsiasi dispositivo. Okta fornisce un servizio di gestione delle identità di livello aziendale per i clienti nel cloud o che utilizzano applicazioni on-premise. La soluzione Privileged Access Management (PAM) di Okta aiuta le organizzazioni a gestire i rischi integrando funzionalità PAM critiche nella soluzione di base per la gestione delle identità e degli accessi, tra cui la gestione degli accessi privilegiati, il vaulting delle credenziali e la reportistica sulla conformità. Okta utilizza Nitro Enclaves per gestire e archiviare in modo sicuro le credenziali dell'infrastruttura dei clienti nella rispettiva soluzione Okta PAM. La soluzione PAM di Okta sfrutta l'aiuto di Nitro Enclaves per gestire le credenziali dei clienti in un ambiente controllato e certificato crittograficamente. Utilizzando AWS Nitro Enclaves, Okta protegge i clienti dagli attacchi come parte della nostra architettura di difesa in profondità. Okta non vede l'ora di espandere le funzionalità di Okta Privileged Access oltre a Nitro Enclaves, continuando a costruire una base sicura per proteggere l'accesso all'ecosistema dei clienti".
Smitha Prasad, Director of Engineering, Okta