AWS Nitro Enclaves

Le enclavi sono macchine virtuali completamente isolate, solide e altamente vincolate. Non dispongono di storage persistente, né di accesso interattivo, né di connessione a reti esterne. La comunicazione tra la tua istanza e la tua enclave avviene attraverso un canale locale sicuro. Nemmeno gli utenti root o gli amministratori dell'istanza saranno in grado di accedere all'enclave o di collegarvisi attraverso il protocollo SSH.

Nitro Enclaves utilizza l'isolamento di comprovata efficacia dell'hypervisor Nitro per isolare ulteriormente la CPU e la memoria dell'enclave da utenti, applicazioni e librerie nell'istanza madre. Queste funzionalità ci consentono di isolare l'enclave e il tuo software e di ridurre sensibilmente l'area della superficie di attacco.

L'attestazione consente di verificare l'identità dell'enclave e che soltanto il codice autorizzato venga eseguito nella tua enclave. Il processo di attestazione viene eseguito attraverso l'hypervisor Nitro, che produce un documento di attestazione firmato per l'enclave in modo da dimostrarne l'identità a un'altra parte o a un altro servizio. I documenti di attestazione contengono dettagli chiave dell'enclave come la relativa chiave pubblica, le hash dell'immagine e delle applicazioni dell'enclave e molto altro. Nitro Enclaves prevede l'integrazione con AWS KMS, dove KMS è in grado di leggere e verificare questi documenti di attestazione inviati dall'enclave.

Nitro Enclaves è un sistema flessibile. Puoi creare enclave con combinazioni diverse di core e memoria CPU. In tal modo avrai a disposizione risorse sufficienti per eseguire la stessa memoria o le stesse applicazioni a elaborazione intensiva che erano già in esecuzione sulle tue istanze EC2 esistenti. Le enclavi Nitro sono indipendenti dal processore e utilizzabili con istanze offerte da vari fornitori di CPU. Sono inoltre compatibili con qualsiasi linguaggio o framework di programmazione. In più, dal momento che molti componenti di Nitro Enclaves sono open source, i clienti possono esaminare il codice e convalidarlo in prima persona.

I clienti possono ora isolare e utilizzare chiavi private (ad esempio SSL/TLS) in un'enclave e, allo stesso tempo, impedire a utenti, applicazioni e librerie sull'istanza madre di vederle. In genere, queste chiavi private sono archiviate nell'istanza EC2 come testo semplice.

AWS Certificate Manager (ACM) per Nitro Enclaves è un'applicazione per enclavi che consente di utilizzare certificati SSL/TLS pubblici e private con le proprie applicazioni Web e i propri server su istanze Amazon EC2 con AWS Nitro Enclaves.

La tokenizzazione è un processo che converte dati ad alta sensibilità quali numeri di carte di credito o dati sanitari in un token. Con Nitro Enclaves, i clienti possono eseguire l'applicazione destinata alla conversione all'interno di un'enclave. I dati crittografati possono essere inviati all'enclave e qui decrittografati ed elaborati. Durante l'intero processo, i dati sensibili non saranno disponibili per la visualizzazione o l'accesso da parte dell'istanza EC2 madre.

Grazie alla funzione di attestazione crittografica di Nitro Enclaves, gli utenti possono impostare calcoli multilaterali, in cui diversi soggetti possono partecipare all'elaborazione dei dati ad alta sensibilità senza dover divulgare e condividere i dati effettivi a ogni singolo soggetto. Il calcolo multilaterale è anche eseguibile all'interno della stessa organizzazione per stabilire la separazione delle attività.

"ACINQ è uno dei principali sviluppatori e operatori di Lightning Network, una rete di pagamento aperta e ad alte prestazioni basata su Bitcoin. Eseguendo i nostri nodi di pagamento all'interno di AWS Nitro Enclaves, siamo riusciti a raggiungere l'elevato livello di protezione di cui abbiamo bisogno per le chiavi private che controllano i nostri fondi senza quasi nessuna modifica al codice. La capacità di eseguire applicazioni complesse e certificate crittograficamente all'interno di AWS Nitro Enclaves è un punto di svolta dal punto di vista della sicurezza e ci consente di implementare misure di sicurezza aggiuntive come l'uso di portafogli hardware per amministrare i nostri sistemi. Utilizzando AWS Nitro Enclaves, gestiamo uno dei nodi di pagamento più sicuri della rete e prevediamo di spostare più servizi su AWS Nitro Enclaves per ridurre la superficie di attacco del nostro sistema complessivo".

Fabrice Drouin, cofondatore e CTO, ACINQ

"Anjuna ha innovato la modalità enterprise-ready per proteggere le risorse di alto valore sfruttando AWS Nitro Enclaves. Ora i nostri clienti possono configurare e gestire ambienti di calcolo isolati in EC2 per elaborare e rafforzare i carichi di lavoro cloud in pochi minuti senza ricodificare o rifattorizzare (riprogettare) le applicazioni. Anjuna Confidential Computing Software, basato su Nitro Enclaves, riduce la superficie di attacco per le applicazioni di elaborazione dati riservati e sensibili: informazioni personali di identificazione (PII), algoritmi proprietari, applicazioni di calcolo multi-parti (MPC), database e gestione di chiavi/segreti. AWS Nitro Enclaves consente al software di Anjun di servire meglio i clienti in settori altamente regolamentati come servizi finanziari, fintech, criptovalute, governo, assistenza sanitaria e provider SaaS".

Ayal Yogev, CEO e cofondatore, Anjuna Security

"Un'infrastruttura di validazione altamente disponibile e sicura è fondamentale per reti di criptovalute sostenibili (come la catena Crypto.org). In particolare, un aspetto chiave che deve essere protetto e rinforzato è la firma dei messaggi del protocollo di consenso. All'interno della nostra infrastruttura cloud, AWS Nitro Enclaves e AWS KMS semplificano la scalabilità, l’implementazione e la gestione di questi processi di firma a Crypto.com e ai partner esterni. AWS Nitro Enclaves fornisce consolidamento e un isolamento economico per una gestione sicura delle chiavi".

Tomas Tauber, Chain Lead, Crypto.com

"La protezione e l'elaborazione di informazioni altamente sensibili come i dati finanziari, sanitari, di identità e proprietari è uno dei principali casi d'uso dell'infrastruttura di crittografia di Evervault. Al centro di Evervault c'è il nostro Evervault Encryption Engine (E3), che esegue tutte le operazioni crittografiche e gestisce le chiavi di crittografia per i nostri clienti. E3 è costruito su AWS Nitro Enclaves, che fornisce un ambiente di calcolo isolato, consolidato e altamente vincolato per l'elaborazione di dati sensibili. Costruire E3 su Nitro Enclaves significa che possiamo fornire sia la sicurezza attraverso l'attestazione crittografica, sia una solida base per tutti gli altri prodotti e servizi Evervault. Senza costi aggiuntivi, Nitro Enclaves ci permette di offrire un servizio altamente sicuro, conveniente e scalabile ai nostri clienti; un servizio capace di gestire migliaia di operazioni di crittografia al secondo".

Shane Curran, fondatore e CEO, Evervault

"La missione di Footprint è riportare la fiducia in Internet e la nostra prima priorità è assicurarci di utilizzare l'architettura di vaulting più sofisticata e robusta per archiviare, crittografare ed elaborare dati finanziari e personali sensibili per i nostri clienti e i loro utenti. Per raggiungere questo obiettivo, abbiamo progettato e costruito l'infrastruttura di vaulting principale di Footprint su AWS Nitro Enclaves grazie alla sicurezza di livello mondiale che fornisce: la capacità di eseguire codice firmato e attestato crittograficamente in un ambiente isolato da CPU, memoria e rete per ridurre notevolmente la superficie di attacco e fornire ai nostri clienti una base di sicurezza che supera di gran lunga i normali approcci utilizzati oggi dalle aziende”.

Alex Grinman, co-fondatore e CTO di Footprint

"M10 Networks, Inc sviluppa ed implementa la sua piattaforma M10 Ledger, un servizio per sviluppare e distribuire valute digitali delle banche centrali e debiti regolati tokenizzati, in AWS. La piattaforma Ledger utilizza AWS Nitro Enclaves per eseguire verifiche di firma e re-signing crittografici di batch di transazioni. Utilizzando AWS Nitro Enclaves nelle ultime istanze M6i di AWS, M10 è capace di offrire una soluzione performante e conveniente per il mercato della valuta digitale".

Sascha Wise, M10 Founding Engineer (Ingegnere fondatore di M10)