AWS Nitro 엔클레이브

EC2 인스턴스 내 매우 민감한 데이터의 보호를 강화하도록 추가 격리 생성

AWS Nitro 엔클레이브를 통해 고객은 Amazon EC2 인스턴스 내 PII(개인 식별 정보), 의료, 금융 및 지적 재산권 데이터와 같은 매우 민감한 데이터를 추가로 보호하고 안전하게 처리하도록 격리된 컴퓨팅 환경을 생성할 수 있습니다. Nitro 엔클레이브는 EC2 인스턴스에 대한 CPU 및 메모리 격리를 제공하는 동일한 니트로 하이퍼바이저 기술을 사용합니다.

Nitro 엔클레이브를 사용하면 고객은 가장 민감한 데이터 처리 애플리케이션의 공격에 노출되는 영역을 줄일 수 있습니다. 엔클레이브는 보안이 중요한 애플리케이션을 호스팅할 격리되고, 보안이 철저하며, 고도로 제한된 환경을 제공합니다. Nitro 엔클레이브는 소프트웨어에 대한 암호화 증명을 포함하므로, 사용자의 엔클레이브만 민감한 자료에 액세스할 수 있도록 권한 부여된 코드만 실행하고 AWS Key Management Service와의 통합을 보장합니다.

엔클레이브는 영구 스토리지가 제공되지 않고 관리자나 운영자의 액세스 권한이 없으며 EC2 인스턴스에 대한 안전한 로컬 연결만 제공하는 EC2 인스턴스에 연결된 가상 머신입니다.

Nitro_Enclaves_Icon

이점

추가 격리와 보안

엔클레이브는 영구 스토리지가 없고 관리자나 운영자의 액세스 권한이 없으며 안전한 로컬 연결만 제공하는 완전히 격리된 가상 머신입니다. 인스턴스와 엔클레이브 사이의 통신은 안전한 로컬 채널을 사용해서 수행됩니다. 이 기능을 통해 엔클레이브 및 소프트웨어를 격리하고 공격에 노출되는 영역을 크게 줄일 수 있습니다.

암호화 증명

증명을 통해 엔클레이브에서 권한 부여된 코드만 실행하는지 확인하고 엔클레이브의 자격 증명을 검증할 수 있습니다. 증명 프로세스는 니트로 하이퍼바이저를 통해 수행합니다. 니트로 하이퍼바이저는 다른 대상이나 서비스에 해당 자격 증명을 증명하기 위해 엔클레이브에 대한 서명된 증명 문서를 생성합니다. 증명 문서는 엔클레이브의 퍼블릭 키, 엔클레이드 이미지 및 애플리케이션의 해시 등 엔클레이브에 대한 주요 세부 정보를 포함합니다. Nitro 엔클레이브는 AWS KMS 통합을 포함합니다. 이때 KMS는 엔클레이브에서 전송된 이러한 증명 문서를 읽고 검증할 수 있습니다.

유연한 리소스 할당

CPU 코어 및 메모리를 다양하게 조합하여 엔클레이브를 생성할 수 있습니다. 이를 통해 기존 EC2 인스턴스에서 이미 실행 중인 동일한 메모리 또는 컴퓨팅 집약적인 애플리케이션을 실행할 수 있는 충분한 리소스를 보장합니다.

작동 방식

Diagram_Nitro-Enclaves (1)

그림 1: Nitro 엔클레이브는 엔클레이브와 EC2 인스턴스를 격리하기 위해 EC2 인스턴스 간에 CPU 및 메모리 격리를 생성하는 동일한 니트로 하이퍼바이저 기술을 사용합니다.