AWS Nitro Enclaves では、高度な機密情報の保護や安全措置を向上する、分離されたコンピューティング環境を、お客様が作成することができます。これにより、Amazon EC2 インスタンスに保存する、個人が特定可能な情報 (PII) 、医療、金融、知的財産データなどに対応します。Nitro Enclaves では、EC2 インスタンスで CPU とメモリの分離を行っているのと同じ、Nitro Hypervisor テクノロジーを採用しています。
Nitro Enclaves は、最も機密性の高いデータを処理するアプリケーションにおいて、お客様が攻撃対象領域を削減するのに役立ちます。Enclaves は、重要機密を扱うアプリケーションをホストするための、強力かつ分離され、高度な強制力を持つ環境を提供します。Nitro Enclaves には、ソフトウェア用の暗号化証明書が含まれています。これにより、認証のあるコードだけが正確に実行されるようにできます。同時に、AWS Key Management Service との統合も行え、自身のエンクレーブからのみ機密情報にアクセスできるようにします。
Amazon EC2 インスタンスの使用、および Nitro Enclaves で利用するその他の AWS のサービスの使用以外に、AWS Nitro Enclaves の使用に追加料金はかかりません。
メリット
追加的分離とセキュリティ
エンクレーブは完全に分離された仮想マシンで、強化され、高度に制約されています。エンクレーブに永続的なストレージ、インタラクティブなアクセス、外部ネットワークはありません。お客様のインスタンスとエンクレーブの間の通信は、安全なローカルチャネルを通じて行われます。インスタンスの root ユーザーまたは管理者ユーザーでさえ、エンクレーブにアクセスしたり、SSH で接続したりすることはできません。
Nitro Enclaves は、実績のある Nitro Hypervisor の分離を使用して、エンクレーブの CPU とメモリを、親インスタンス上のユーザー、アプリケーション、およびライブラリからさらに分離します。これらの機能が、エンクレーブとお客様のソフトウェアの分離を助けるので、攻撃対象領域を大幅に削減できます。
暗号化証明
Attestation では、エンクレーブの ID を検証し、認証されたコードのみがエンクレーブ内で正確に実行されるようにすることができます。証明プロセスは、Nitro Hypervisor を通じて完了され、提供されるエンクレーブに関する署名付きの証明ドキュメントが、外部のパーティーやサービスに対し ID を保証します。証明ドキュメントには、エンクレーブの公開キー、エンクレーブイメージとアプリケーションのハッシュ、その他の、主要な詳細情報が記載されます。Nitro Enclaves は AWS KMS との統合も含まれ、KMS において、エンクレーブが送信した証明ドキュメントの読み込みと検証が可能です。
柔軟性
Nitro Enclaves には柔軟性があります。エンクレーブの作成には、CPU コアとメモリに関する多様な組合せが使えます。これにより、現在 EC2 インスタンスで実行しているのと同じメモリおよび計算量の多いアプリケーションを、同様に実行するための十分なリソースが確保できます。Nitro Enclaves はプロセッサに依存せず、さまざまな CPU ベンダーが提供するインスタンス間で使えます。また、プログラミング言語やフレームワークとも互換性があります。さらに、Nitro Enclaves の多くのコンポーネントはオープンソースであるため、お客様はコードを検査して自分で検証することもできます。
仕組み
図 1: Nitro Enclaves の仕組みプロセスフロー
図 2: Nitro Enclaves では、EC2 インスタンスにおいて CPU とメモリの分離を行っているのと同じ、Nitro Hypervisor テクノロジーが採用されています。これにより、Enclave と EC2 インスタンスの分離が実現されています。
図 3: エンクレーブは、親インスタンスと呼ばれる EC2 インスタンスの CPU とメモリをパーティション化することによって作成されます。エンクレーブの作成には、CPU コアとメモリに関する多様な組合せが使えます。上記は、親インスタンス (14 vCPU、32 GiB メモリ) とエンクレーブ (2 vCPU、32 GiB メモリ) に分割された m5.4xlarge を使用した例です。親インスタンスとエンクレーブ間の通信は、vsock と呼ばれる安全なローカル接続を介して行われます。
ユースケース
プライベートキーの保護
お客様は、エンクレーブでプライベートキー (SSL/TLS など) を分離して使用できるようになった一方、親インスタンス上のユーザー、アプリケーション、およびライブラリからこのようなプライベートキーを表示できなくなりました。通常、このようなプライベートキーはプレーンテキストで EC2 インスタンスに保存されます。
Nitro Enclaves 用の AWS Certificate Manager (ACM) は、AWS Nitro Enclaves を使って Amazon EC2 インスタンスで実行されているウェブアプリケーションおよびサーバーで、パブリックおよびプライベート SSL/TLS 証明書を使用できるようにするエンクレーブアプリケーションです。
トークン化
トークン化は、クレジットカード番号や医療データなどの機密性の高いデータをトークンに変換するプロセスです。Nitro Enclaves を使用すると、お客様はこの変換を行うアプリケーションをエンクレーブ内で実行できます。暗号化されたデータはエンクレーブに送信され、そこで復号化されてから処理されます。親 EC2 インスタンスは、このプロセス全体を通じて機密データを表示またはアクセスできなくなります。
マルチパーティー計算
Nitro Enclaves の暗号認証機能を使用して、お客様はマルチパーティー計算をセットアップできます。これにより、実際のデータを個々の関係者に開示または共有することなく、複数の関係者が参加して機密性の高いデータを処理できます。同じ組織内でマルチパーティー計算を実行して、職務の分離を確立することもできます。
お客様事例
「ACINQ は、ビットコインに基づくオープンで高性能な決済ネットワークである Lightning Network の主要なデベロッパーおよび運営者のうちの 1 社です。AWS Nitro Enclaves 内で支払いノードを実行することにより、コードをほとんど変更することなく、資金を制御するプライベートキーに必要な高レベルの保護を実現することができました。AWS Nitro Enclaves 内で暗号化によって安全性が証明されている複雑なアプリケーションを実行できることは、セキュリティの観点から非常に革新的なことです。これにより、当社は、ハードウェアウォレットを使用してシステムを管理するなど、追加のセキュリティ対策を実装できます。当社は、AWS Nitro Enclaves を使用して、ネットワーク上で最も安全な支払いノードの 1 つを運用しており、より多くのサービスを AWS Nitro Enclaves に移行して、システム全体のアタックサーフェスを減らすことを計画しています」。
ACINQ、共同創業者兼 CTO、Fabrice Drouin 氏
「Anjuna は、AWS Nitro Enclaves を活用して高価値のアセットを保護する、エンタープライズ対応の方法を革新しました。お客様は、アプリケーションの再コーディングやリファクタリングをすることなく、EC2 で分離されたコンピューティング環境を設定、管理し、数分でクラウドワークロードを処理、強化できるようになりました。Nitro Enclaves 上に構築された Anjuna Confidential Computing ソフトウェアは、個人を特定できる情報 (PII)、独自のアルゴリズム、マルチパーティー計算 (MPC) アプリケーション、データベース、キー/シークレット管理といった機密データ処理アプリケーションのアタックサーフェスを削減します。AWS Nitro Enclaves によって、Anjuna のソフトウェアは、金融サービス、フィンテック、暗号、政府、ヘルスケア、SaaS プロバイダーなど、規制の厳しい業界の顧客により良いサービスを提供することができます」。
Ayal Yogev 氏、CEO 兼共同創業者、Anjuna Security
「Cape Privacy は、クラウドを活用する AI のデータセキュリティとプライバシーに焦点を当てています。企業は Cape API を使用して、機密データや機密データを含む可能性のあるカスタマイズされたナレッジベースに対して大規模言語モデルの力を活用できます。Cape API は、大規模言語モデルの使用価値を損なうことなく、お客様データのプライバシーを確保するように設計されています。Amazon EC2 で Cape モデルを使用しているお客様は、Cape Privacy の機密データを保護するアプローチに自信が持てます。なぜなら、AWS Nitro System 上で AWS Nitro Enclaves を使用し、プライバシーを保護するさまざまなデータ処理技術を使用して、誰からもデータを見られないようにできるからです」
Ché Wijesinghe 氏、CEO、Cape Privacy
「持続可能な暗号通貨ネットワーク ( Crypto.org Chain など) には、高可用性と安全性を備えたバリデータインフラストラクチャが不可欠である。具体的には、コンセンサスプロトコルメッセージの署名という、保護し、強化する必要がある重要な側面があります。Crypto.com のクラウドインフラストラクチャでは、AWS Nitro Enclaves と AWS KMS により、当社と外部パートナーがこれらの署名プロセスを容易にスケール、デプロイ、管理することができます。AWS Nitro Enclaves は、安全なキー管理のためのコスト効率の良いハードニングとアイソレーションを提供します」。
Tomas Tauber 氏、Chain Lead、Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
「パスワードマネージャーとして、Dashlane は組織にとって最も機密性の高いデータの一部を保護する責任があります。AWS Nitro Enclaves を使用すると、お客様は最高レベルのセキュリティを確保しながら、統合の設定時間を半分に短縮できます。AWS Nitro Enclaves は、暗号化キーを完全に分離する革新的な方法を提供します。これにより、組織はデータがプライベートで保護され、Dashlane などの権限のない第三者がキーを見たりアクセスしたりできないという安心感を得ることができます」。
Dashlane、最高技術責任者、Frederic Rivain 氏
「金融、ヘルスケア、ID、専有データなどの非常にセンシティブな情報の保護と処理は、 Evervault の暗号化インフラストラクチャの主なユースケースの 1 つです。Evervault の中核となるのは、Evervault Encryption Engine (E3) で、すべての暗号オペレーションを実行し、顧客のために暗号化キーを処理します。E3 は AWS Nitro Enclaves 上に構築されており、機密データを処理するための分離、強化、そして高度に制約されたコンピューティング環境を提供しています。Nitro Enclaves 上に E3 を構築することで、私たちは暗号化証明によるセキュリティと、他のすべての Evervault 製品、サービスのための堅牢な基盤の両方を提供することができます。Nitro Enclaves を使用することで、追加コストなしに、安全性が高く、費用対効果の高い、スケーラブルなサービスをお客様に提供することができます。1 秒間に数千回の暗号化オペレーションを行うことができるサービスです」。
Shane Curran 氏、創業者兼 CEO、Evervault
「Footprint のミッションは、インターネットに信頼を取り戻すことです。私たちの最優先事項は、最も洗練された、堅牢な保管庫アーキテクチャを使用して、お客様やそのユーザーの機密性の高い金融データや個人データを保存、暗号化、処理することを確実にすることです。これを実現するために、Footprint のコアな保管庫インフラストラクチャを AWS Nitro Enclaves の上に設計および構築していますが、これは世界最高水準のセキュリティを提供するためです。CPU、メモリ、ネットワークから隔離された環境で暗号署名および認証されたコードを実行することで、アタックサーフェス領域を大幅に縮小し、今日企業が使用している通常のアプローチをはるかにしのぐセキュリティ基盤をお客様に提供することができます」。
Footprint、共同創業者兼 CTO、Alex Grinman 氏
「コンフィデンシャルコンピューティングのパイオニアである Fortanix は、マルチパーティデータコラボレーション、フェデレーテッド機械学習、および機密データ検索のユースケースを強化します。Fortanix のユーザーは、Confidential Computing Manager を使用して機密アプリケーションをリフトアンドシフトし、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで有効になっているさまざまな AWS Nitro Enclaves で実行できるため、使用中も機密データを確実に保護できます。Fortanix は、ヘルスケア、フィンテック、金融サービス、製造など、さまざまな業界のユーザーが、データのライフサイクル全体 (保管、移動、および使用) でセキュリティを強化し、データを保護することで、AWS への移行を加速できるよう支援しています」。
Fortanix、CEO、Anand Kashyap 氏
「イタウ・デジタル・アセットは、ブロックチェーン技術を使用したソリューションの開発を担当するイタウ・ユニバンコのビジネスユニットです。このような状況において、Nitro Enclaves は、当社の暗号資産保管サービスの暗号鍵を操作するための安全な環境を構築するのに役立ちました。これにより、データ処理に対する保護をさらに強化すると同時に、アタックサーフェイスを減らすことができました。この高レベルの保護は、当機関の主要な柱の1つである優れたセキュリティに関連する複雑なソリューションの実行を可能にした重要な要素でした。」
イタウ・ウニバンコ最高技術責任者、カルロス・エドゥアルド・マッツェイ
「M10 Networks, Inc は、中央銀行のデジタル通貨やトークン化されたレギュレーテッド債務の開発および流通のためのサービス M10 Ledger Platform をAWS 上で開発およびデプロイしています。Ledger Platform は、AWS Nitro Enclaves を使用して、取引のバッチの署名検証および暗号による再署名を実行します。AWS Nitro Enclaves を AWS の最新の M6i インスタンスで使用することにより、M10 はデジタル通貨市場向けにパフォーマンスとコスト効率の高いソリューションを提供することができます」。
Sascha Wise 氏、Founding Engineer、M10
「サービスとしての ID (IDaaS) 企業である Okta は、あらゆるユーザーとあらゆるデバイスのあらゆるアプリケーションをつなげるお手伝いをします。Okta は、クラウドまたはオンプレミスアプリケーションを使用しているお客様に、エンタープライズレベルの ID 管理サービスを提供します。 Okta の特権アクセス管理 (PAM) ソリューションは、特権アクセス管理、認証情報保管、コンプライアンスレポートなど、重要な PAM 機能を中核となる ID およびアクセス管理ソリューションに組み込むことで、組織のリスク管理を支援します。 Okta は Nitro Enclaves を使用して、お客様のインフラストラクチャ認証情報をそれぞれの Okta PAM ソリューションで安全に管理および保存しています。 Okta の PAM ソリューションは、Nitro Enclaves の支援を活用して、精査され暗号的に証明された環境でお客様の認証情報を管理します。Okta は多層防御アーキテクチャの一部として、AWS Nitro Enclaves を使用してお客様を攻撃から守っています。 Okta は、Nitro Enclaves に加えて Okta Privileged Access の機能を拡張し、お客様のエコシステムへのアクセスを保護するための安全な基盤を構築し続けることを目標としています」
Smitha Prasad 氏、Director of Engineering、Okta