게시된 날짜: Oct 28, 2020
AWS Nitro 엔클레이브는 Amazon EC2 인스턴스 내 개인 식별 정보(PII), 의료, 금융 및 지적 재산권 데이터와 같은 매우 민감한 데이터를 추가로 보호하고 안전하게 처리하기 위한 분리된 컴퓨팅 환경(엔클레이브)을 생성할 수 있는 새로운 EC2 기능입니다. Nitro 엔클레이브는 가장 민감한 데이터 처리 애플리케이션의 공격 표면 영역을 줄이는 데 도움이 됩니다.
Amazon EC2는 고도로 민감한 다양한 데이터의 처리에 사용됩니다. 이러한 데이터는 전송될 때와 유휴 상태일 때 액세스 제어 및 암호화를 통해 보호됩니다. 그러나 처리 중에는 이 매우 민감한 데이터가 복호화됩니다. 처리 중에 데이터를 보호하기 위해 고객은 개별 VPC를 설정하고, 불필요한 서드 파티 소프트웨어를 인스턴스에서 제거하며, 연결을 제한하고, 사용자 액세스를 제한하는 등의 작업을 수행합니다. 이와 같이 분리된 플릿을 생성하고 관리하려면 상당한 운영 리소스가 필요할 뿐 아니라 작업도 복잡할 수 있습니다. AWS는 이러한 부담을 덜어드리고 싶었습니다.
엔클레이브는 많은 제약을 통해 보안을 강화한 개별 가상 머신입니다. 영구 스토리지가 없고 대화형 액세스가 없으며 외부 네트워킹이 없습니다. 인스턴스의 루트 사용자 또는 관리자도 엔클레이브에 액세스하거나 SSH로 연결할 수 없습니다. Nitro 엔클레이브는 니트로 하이퍼바이저의 검증된 분리 기술을 사용하여 상위 인스턴스의 사용자, 애플리케이션 및 라이브러리로부터 엔클레이브의 CPU 및 메모리를 분리합니다. 엔클레이브와 통신할 수 있는 유일한 방법은 엔클레이브에 연결된 상위 인스턴스에서 로컬 소켓을 사용하는 것입니다. 따라서 EC2 인스턴스 내부에 있는 고도로 민감한 데이터의 처리가 자체 내부 관리자, 개발자 및 기타 EC2 인스턴스로부터 분리됩니다.
Nitro 엔클레이브의 증명을 사용하면 엔클레이브의 자격 증명을 확인하고 권한이 있는 코드만 엔클레이브에서 실행되고 있는지 확인할 수 있습니다. Nitro 엔클레이브는 AWS Key Management Service와 통합됩니다. 따라서 엔클레이브 내부에서 처리되는 민감한 데이터를 준비하고 보호할 수 있습니다. 엔클레이브를 다른 키 관리 서비스와 통합할 수도 있습니다.
Nitro 엔클레이브는 유연하며 다양한 양의 컴퓨팅 리소스로 생성될 수 있습니다. 또한 모든 프로그래밍 언어 또는 프레임워크와 호환됩니다. Nitro 엔클레이브는 프로세서와 무관하며 AWS Nitro System에 구축된 대부분의 인텔 및 AMD 기반 Amazon EC2 인스턴스 유형에서 사용할 수 있습니다. AWS Graviton2 기반 인스턴스 지원도 곧 제공됩니다. 마지막으로, Nitro 엔클레이브의 구성 요소 다수는 오픈 소스입니다. 따라서 고객이 직접 코드를 검사하고 검증할 수 있습니다.
ACM for Nitro Enclaves는 참조 엔클레이브 애플리케이션 중 하나입니다. 이 애플리케이션을 사용하면 Amazon EC2 인스턴스에서 Nitro 엔클레이브를 통해 실행되는 NGINX와 같은 웹 애플리케이션 및 서버에서 AWS Certificate Manager(ACM)의 퍼블릭 및 프라이빗 SSL/TLS 인증서를 사용할 수 있습니다.
Amazon EC2 인스턴스 사용 요금과 Nitro 엔클레이브 및 ACM for Nitro Enclaves에 사용하는 다른 AWS 서비스 사용 요금 외에 추가 비용은 없습니다. 오늘부터, AWS 미국 동부(버지니아 북부, 오하이오), 미국 서부(오레곤), EU(프랑크푸르트, 아일랜드, 파리, 스톡홀름), 아시아 태평양(홍콩, 뭄바이, 싱가포르, 시드니, 도쿄) 및 남아메리카(상파울루)에서 Nitro 엔클레이브를 사용할 수 있으며 곧 더 많은 리전에서 제공됩니다.
AWS Nitro 엔클레이브와 시작 방법에 대해 자세히 알아보려면 AWS Nitro 엔클레이브 페이지를 참조하세요.