AWS Nitro Enclaves

Crea un maggiore isolamento per proteggere ulteriormente i dati ad alta sensibilità nelle istanze EC2

AWS Nitro Enclaves consente ai clienti di creare ambienti di calcolo isolati per proteggere ulteriormente ed elaborare in modo sicuro dati altamente sensibili come informazioni che consentono l'identificazione personale (PII), dati proprietari su sanità, finanza e proprietà intellettuale nell'ambito delle rispettive istanze Amazon EC2. Nitro Enclaves utilizza la stessa tecnologia Nitro Hypervisor che assicura l'isolamento di CPU e memoria per le istanze EC2.

Nitro Enclaves consente ai clienti di ridurre l'area della superficie di attacco per le applicazioni di elaborazione dei dati più sensibili. Enclaves offre un ambiente isolato, irrobustito e altamente vincolato per l'hosting di applicazioni security-critical. Nitro Enclaves include l'attestazione crittografica per il tuo software, affinché tu possa essere certo che soltanto il codice autorizzato sia in esecuzione, oltre all'integrazione con AWS Key Management Service, in modo che solo le tue enclave possano accedere al materiale sensibile.

Per AWS Nitro Enclaves non sono previsti costi aggiuntivi a quelli per l'utilizzo delle istanze Amazon EC2 ed eventuali altri servizi AWS implementati con Nitro Enclaves.

Presentazione di Nitro Enclaves
Panoramica di AWS Nitro Enclaves

Vantaggi

Un maggiore livello di isolamento e sicurezza

Le enclavi sono macchine virtuali completamente isolate, solide e altamente vincolate. Non dispongono di storage persistente, né di accesso interattivo, né di connessione a reti esterne. La comunicazione tra la tua istanza e la tua enclave avviene attraverso un canale locale sicuro. Nemmeno gli utenti root o gli amministratori dell'istanza saranno in grado di accedere all'enclave o di collegarvisi attraverso il protocollo SSH.

Nitro Enclaves utilizza l'isolamento di comprovata efficacia dell'hypervisor Nitro per isolare ulteriormente la CPU e la memoria dell'enclave da utenti, applicazioni e librerie nell'istanza madre. Queste funzionalità ci consentono di isolare l'enclave e il tuo software e di ridurre sensibilmente l'area della superficie di attacco.

Attestazione crittografica

L'attestazione consente di verificare l'identità dell'enclave e che soltanto il codice autorizzato venga eseguito nella tua enclave. Il processo di attestazione viene eseguito attraverso l'hypervisor Nitro, che produce un documento di attestazione firmato per l'enclave in modo da dimostrarne l'identità a un'altra parte o a un altro servizio. I documenti di attestazione contengono dettagli chiave dell'enclave come la relativa chiave pubblica, le hash dell'immagine e delle applicazioni dell'enclave e molto altro. Nitro Enclaves prevede l'integrazione con AWS KMS, dove KMS è in grado di leggere e verificare questi documenti di attestazione inviati dall'enclave.

Flessibilità

Nitro Enclaves è un sistema flessibile. Puoi creare enclave con combinazioni diverse di core e memoria CPU. In tal modo avrai a disposizione risorse sufficienti per eseguire la stessa memoria o le stesse applicazioni a elaborazione intensiva che erano già in esecuzione sulle tue istanze EC2 esistenti. Le enclavi Nitro sono indipendenti dal processore e utilizzabili con istanze offerte da vari fornitori di CPU. Sono inoltre compatibili con qualsiasi linguaggio o framework di programmazione. In più, dal momento che molti componenti di Nitro Enclaves sono open source, i clienti possono esaminare il codice e convalidarlo in prima persona.

Come funziona

Come funziona Nitro Enclaves

Figura 1: Schema di processo del funzionamento di Nitro Enclaves

Figura 2: Nitro Enclaves utilizza la stessa tecnologia di hypervisor Nitro che crea la CPU e l'isolamento di memoria tra le istanze EC2 per creare l'isolamento tra un enclave e un'istanza EC2.

Figura 3: Un'enclave viene creata attraverso il partizionamento della CPU e della memoria di un'istanza EC2, denominata istanza madre. Puoi creare enclave con combinazioni diverse di core e memoria CPU. Sopra è riportato un esempio che utilizza una suddivisione m5.4xlarge in un'istanza madre (14 vCPU, 32 GiB di memoria) e un'enclave (2 vCPU, 32 GiB di memoria). La comunicazione tra l'istanza madre e l'enclave avviene attraverso una connessione locale sicura denominata vsock.

Casi d'uso

Protezione delle chiavi private

I clienti possono ora isolare e utilizzare chiavi private (ad esempio SSL/TLS) in un'enclave e, allo stesso tempo, impedire a utenti, applicazioni e librerie sull'istanza madre di vederle. In genere, queste chiavi private sono archiviate nell'istanza EC2 come testo semplice.

AWS Certificate Manager (ACM) per Nitro Enclaves è un'applicazione per enclavi che consente di utilizzare certificati SSL/TLS pubblici e private con le proprie applicazioni Web e i propri server su istanze Amazon EC2 con AWS Nitro Enclaves.

Tokenizzazione

La tokenizzazione è un processo che converte dati ad alta sensibilità quali numeri di carte di credito o dati sanitari in un token. Con Nitro Enclaves, i clienti possono eseguire l'applicazione destinata alla conversione all'interno di un'enclave. I dati crittografati possono essere inviati all'enclave e qui decrittografati ed elaborati. Durante l'intero processo, i dati sensibili non saranno disponibili per la visualizzazione o l'accesso da parte dell'istanza EC2 madre.

Calcolo multilaterale

Grazie alla funzione di attestazione crittografica di Nitro Enclaves, gli utenti possono impostare calcoli multilaterali, in cui diversi soggetti possono partecipare all'elaborazione dei dati ad alta sensibilità senza dover divulgare e condividere i dati effettivi a ogni singolo soggetto. Il calcolo multilaterale è anche eseguibile all'interno della stessa organizzazione per stabilire la separazione delle attività.

Testimonianze dei clienti

ACINQ
"ACINQ è uno dei principali sviluppatori e operatori di Lightning Network, una rete di pagamento aperta e ad alte prestazioni basata su Bitcoin. Eseguendo i nostri nodi di pagamento all'interno di AWS Nitro Enclaves, siamo riusciti a raggiungere l'elevato livello di protezione di cui abbiamo bisogno per le chiavi private che controllano i nostri fondi senza quasi nessuna modifica al codice. La capacità di eseguire applicazioni complesse e certificate crittograficamente all'interno di AWS Nitro Enclaves è un punto di svolta dal punto di vista della sicurezza e ci consente di implementare misure di sicurezza aggiuntive come l'uso di portafogli hardware per amministrare i nostri sistemi. Utilizzando AWS Nitro Enclaves, gestiamo uno dei nodi di pagamento più sicuri della rete e prevediamo di spostare più servizi su AWS Nitro Enclaves per ridurre la superficie di attacco del nostro sistema complessivo".

Fabrice Drouin, cofondatore e CTO, ACINQ

Anuja Security
"Anjuna ha innovato la modalità enterprise-ready per proteggere le risorse di alto valore sfruttando AWS Nitro Enclaves. Ora i nostri clienti possono configurare e gestire ambienti di calcolo isolati in EC2 per elaborare e rafforzare i carichi di lavoro cloud in pochi minuti senza ricodificare o rifattorizzare (riprogettare) le applicazioni. Anjuna Confidential Computing Software, basato su Nitro Enclaves, riduce la superficie di attacco per le applicazioni di elaborazione dati riservati e sensibili: informazioni personali di identificazione (PII), algoritmi proprietari, applicazioni di calcolo multi-parti (MPC), database e gestione di chiavi/segreti. AWS Nitro Enclaves consente al software di Anjun di servire meglio i clienti in settori altamente regolamentati come servizi finanziari, fintech, criptovalute, governo, assistenza sanitaria e provider SaaS".

Ayal Yogev, CEO e cofondatore, Anjuna Security

Crypto.com
"Un'infrastruttura di validazione altamente disponibile e sicura è fondamentale per reti di criptovalute sostenibili (come la catena Crypto.org). In particolare, un aspetto chiave che deve essere protetto e rinforzato è la firma dei messaggi del protocollo di consenso. All'interno della nostra infrastruttura cloud, AWS Nitro Enclaves e AWS KMS semplificano la scalabilità, l’implementazione e la gestione di questi processi di firma a Crypto.com e ai partner esterni. AWS Nitro Enclaves fornisce consolidamento e un isolamento economico per una gestione sicura delle chiavi".

Tomas Tauber, Chain Lead, Crypto.com

Evervault
"La protezione e l'elaborazione di informazioni altamente sensibili come i dati finanziari, sanitari, di identità e proprietari è uno dei principali casi d'uso dell'infrastruttura di crittografia di Evervault. Al centro di Evervault c'è il nostro Evervault Encryption Engine (E3), che esegue tutte le operazioni crittografiche e gestisce le chiavi di crittografia per i nostri clienti. E3 è costruito su AWS Nitro Enclaves, che fornisce un ambiente di calcolo isolato, consolidato e altamente vincolato per l'elaborazione di dati sensibili. Costruire E3 su Nitro Enclaves significa che possiamo fornire sia la sicurezza attraverso l'attestazione crittografica, sia una solida base per tutti gli altri prodotti e servizi Evervault. Senza costi aggiuntivi, Nitro Enclaves ci permette di offrire un servizio altamente sicuro, conveniente e scalabile ai nostri clienti; un servizio capace di gestire migliaia di operazioni di crittografia al secondo".

Shane Curran, fondatore e CEO, Evervault

Logo Footprint
"La missione di Footprint è riportare la fiducia in Internet e la nostra prima priorità è assicurarci di utilizzare l'architettura di vaulting più sofisticata e robusta per archiviare, crittografare ed elaborare dati finanziari e personali sensibili per i nostri clienti e i loro utenti. Per raggiungere questo obiettivo, abbiamo progettato e costruito l'infrastruttura di vaulting principale di Footprint su AWS Nitro Enclaves grazie alla sicurezza di livello mondiale che fornisce: la capacità di eseguire codice firmato e attestato crittograficamente in un ambiente isolato da CPU, memoria e rete per ridurre notevolmente la superficie di attacco e fornire ai nostri clienti una base di sicurezza che supera di gran lunga i normali approcci utilizzati oggi dalle aziende”.

Alex Grinman, co-fondatore e CTO di Footprint

M10 Networks, Inc.
"M10 Networks, Inc sviluppa ed implementa la sua piattaforma M10 Ledger, un servizio per sviluppare e distribuire valute digitali delle banche centrali e debiti regolati tokenizzati, in AWS. La piattaforma Ledger utilizza AWS Nitro Enclaves per eseguire verifiche di firma e re-signing crittografici di batch di transazioni. Utilizzando AWS Nitro Enclaves nelle ultime istanze M6i di AWS, M10 è capace di offrire una soluzione performante e conveniente per il mercato della valuta digitale".

Sascha Wise, M10 Founding Engineer (Ingegnere fondatore di M10)