AWS Nitro Enclaves

Crea ulteriore isolamento per proteggere ulteriormente i dati altamente sensibili nelle istanze EC2

AWS Nitro Enclaves consente ai clienti di creare ambienti di calcolo isolati per proteggere ulteriormente ed elaborare in modo sicuro dati altamente sensibili come informazioni che consentono l'identificazione personale (PII), dati proprietari su sanità, finanza e proprietà intellettuale nell’ambito delle rispettive istanze Amazon EC2. Nitro Enclaves utilizza la stessa tecnologia Nitro Hypervisor che assicura l’isolamento di CPU e memoria per le istanze EC2.

Nitro Enclaves consente ai clienti di ridurre l’area della superficie di attacco per le applicazioni di elaborazione dei dati più sensibili. Enclaves offre un ambiente isolato, irrobustito e altamente vincolato per l’hosting di applicazioni security-critical. Nitro Enclaves include l’attestazione crittografica per il tuo software, affinché tu possa essere certo che sia in esecuzione soltanto il codice autorizzato oltre all’integrazione con AWS Key Management Service, affinché solo le tue enclave possano accedere il materiale sensibile.

Le enclave sono macchine virtuali collegate alle istanze EC2 prive di storage persistente, di amministratore o di accesso operatore e che proteggono soltanto la connettività locale alle tue istanze EC2.

Nitro_Enclaves_Icon

Vantaggi

Isolamento e sicurezza ulteriori

Le enclave sono macchine virtuali completamente isolate prive di storage persistente, di operatore o di amministratore di accesso operatore e dotate soltanto di connettività locale sicura. La comunicazione tra la tua istanza e la tua enclave avviene tramite un canale locale sicuro. Queste funzionalità ci consentono di isolare l’enclave e il tuo software e di ridurre sensibilmente l’area della superficie di attacco.

Attestazione crittografica

L’attestazione consente di verificare che soltanto il codice autorizzato venga eseguito nella tua enclave e di verificare l’identità dell’enclave . Il processo di attestazione viene eseguito tramite Nitro Hypervisor, che produce un documento di attestazione firmato per l’enclave per dimostrarne l’identità a un’altra parte o a un altro servizio. I documenti di attestazione contengono dettagli chiave dell’enclave come la relativa chiave pubblica, le hash dell’immagine e delle applicazioni dell’enclave e molto altro. Nitro Enclaves prevede l’integrazione con AWS KMS, dove KMS è in grado di leggere e verificare questi documenti di attestazione inviati dall’enclave.

Assegnazione flessibile delle risorse

Puoi creare enclave con combinazioni diverse di core e memoria CPU. In tal modo godrai di sufficienti risorse per eseguire la stessa memoria o le stesse applicazioni ad elaborazione intensiva che erano già in esecuzione sulle tue istanze EC2 esistenti.

Come funziona

Diagram_Nitro-Enclaves (1)

Figura 1: Nitro Enclaves utilizza la stessa tecnologia Nitro Hypervisor che crea la CPU e l’isolamento di memoria tra le istanze EC2 per creare l’isolamento tra un enclave e un’istanza EC2.