AWS Nitro 엔클레이브를 통해 고객은 Amazon EC2 인스턴스 내 PII(개인 식별 정보), 의료, 금융 및 지적 재산권 데이터와 같은 매우 민감한 데이터를 추가로 보호하고 안전하게 처리하도록 격리된 컴퓨팅 환경을 생성할 수 있습니다. Nitro 엔클레이브는 EC2 인스턴스에 대한 CPU 및 메모리 격리를 제공하는 동일한 니트로 하이퍼바이저 기술을 사용합니다.
Nitro 엔클레이브를 사용하면 고객은 가장 민감한 데이터 처리 애플리케이션의 공격에 노출되는 영역을 줄일 수 있습니다. 엔클레이브는 보안이 중요한 애플리케이션을 호스팅할 격리되고, 보안이 철저하며, 고도로 제한된 환경을 제공합니다. Nitro 엔클레이브는 소프트웨어에 대한 암호화 증명을 포함하므로, 사용자의 엔클레이브만 민감한 자료에 액세스할 수 있도록 권한 부여된 코드만 실행하고 AWS Key Management Service와의 통합을 보장합니다.
Amazon EC2 인스턴스 사용, 그리고 Nitro 엔클레이브에 사용되는 다른 AWS 서비스 사용 외에 AWS Nitro 엔클레이브 사용에 대해 청구되는 추가 요금은 없습니다.
장점
추가 격리와 보안
엔클레이브는 많은 제약을 통해 보안을 강화한 완전 격리형 가상 머신입니다. 영구 스토리지가 없고 대화형 액세스가 없으며 외부 네트워킹이 없습니다. 인스턴스와 엔클레이브 사이의 통신은 안전한 로컬 채널을 사용해서 수행됩니다. 인스턴스의 루트 사용자 또는 관리자도 엔클레이브에 액세스하거나 SSH로 연결할 수 없습니다.
Nitro 엔클레이브는 니트로 하이퍼바이저의 검증된 분리 기술을 사용하여 상위 인스턴스의 사용자, 애플리케이션 및 라이브러리로부터 엔클레이브의 CPU 및 메모리를 분리합니다. 이 기능을 통해 엔클레이브 및 소프트웨어를 격리하고 공격에 노출되는 영역을 크게 줄일 수 있습니다.
암호화 증명
증명을 사용하면 엔클레이브의 자격 증명을 확인하고 권한이 있는 코드만 엔클레이브에서 실행되고 있는지 확인할 수 있습니다. 증명 프로세스는 니트로 하이퍼바이저를 통해 수행합니다. 니트로 하이퍼바이저는 다른 대상이나 서비스에 해당 자격 증명을 증명하기 위해 엔클레이브에 대한 서명된 증명 문서를 생성합니다. 증명 문서는 엔클레이브의 퍼블릭 키, 엔클레이드 이미지 및 애플리케이션의 해시 등 엔클레이브에 대한 주요 세부 정보를 포함합니다. Nitro 엔클레이브는 AWS KMS 통합을 포함합니다. 이때 KMS는 엔클레이브에서 전송된 이러한 증명 문서를 읽고 검증할 수 있습니다.
유연성
Nitro 엔클레이브는 유연합니다. CPU 코어 및 메모리를 다양하게 조합하여 엔클레이브를 생성할 수 있습니다. 이를 통해 기존 EC2 인스턴스에서 이미 실행 중인 동일한 메모리 또는 컴퓨팅 집약적인 애플리케이션을 실행할 수 있는 충분한 리소스를 보장합니다. Nitro 엔클레이브는 프로세서에 구애받지 않으며, 여러 다른 CPU 벤더에서 지원하는 인스턴스 전반에 걸쳐 사용할 수 있습니다. 또한 어떤 프로그래밍 언어 또는 프레임워크와도 호환됩니다. 그뿐만 아니라 Nitro 엔클레이브의 구성 요소 다수는 오픈 소스입니다. 따라서 고객이 직접 코드를 검사하고 검증할 수 있습니다.
작동 방식
그림 1: Nitro 엔클레이브의 프로세스 흐름 작동 방식
그림 2: Nitro 엔클레이브는 엔클레이브와 EC2 인스턴스를 격리하기 위해 EC2 인스턴스 간에 CPU 및 메모리 격리를 생성하는 동일한 니트로 하이퍼바이저 기술을 사용합니다.
그림 3: CPU 및 EC2 인스턴스 메모리(일명 상위 인스턴스)를 파티셔닝하여 엔클레이브가 생성됩니다. CPU 코어 및 메모리를 다양하게 조합하여 엔클레이브를 생성할 수 있습니다. 위의 예에서는 m5.4xlarge를 사용하여 상위 인스턴스(14 vCPU, 32GiB 메모리) 및 엔클레이브(2 vCPU, 32GiB 메모리)로 분할합니다. 상위 인스턴스와 엔클레이브 간의 통신은 vsock이라고 하는 보안 로컬 연결을 통해 이루어집니다.
사용 사례
프라이빗 키 보안
이제 고객은 엔클레이브에서 프라이빗 키(예: SSL/TLS)를 격리하고 사용할 수 있는 동시에, 상위 인스턴스의 사용자, 애플리케이션, 라이브러리가 이러한 키를 보지 못하도록 할 수 있습니다. 일반적으로 이러한 프라이빗 키는 EC2 인스턴스에 일반 텍스트로 저장됩니다.
AWS Certificate Manager(ACM) for Nitro Enclaves는 엔클레이브 애플리케이션 중 하나입니다. 이 애플리케이션을 사용하면 Amazon EC2 인스턴스에서 AWS Nitro 엔클레이브를 통해 실행되는 웹 애플리케이션 및 서버에서 퍼블릭 및 프라이빗 SSL/TLS 인증서를 사용할 수 있습니다.
토큰화
토큰화는 신용카드 번호 또는 병원 진료 데이터 같은 매우 민감한 데이터를 토큰으로 변환하는 프로세스입니다. 고객은 Nitro 엔클레이브를 사용하여 이러한 변환을 엔클레이브 내부에서 수행하는 애플리케이션을 실행할 수 있습니다. 암호화된 데이터는 엔클레이브로 전송할 수 있는데, 이곳에서는 해당 데이터가 복호화된 후 처리됩니다. 상위 EC2 인스턴스는 이 프로세스를 통해 민감한 데이터를 보거나 액세스할 수 없게 됩니다.
다자간 계산
고객은 Nitro 엔클레이브의 암호화 증명 기능을 사용하여 다자간 계산을 설정할 수 있습니다. 이 과정에서 여러 당사자는 실제 데이터를 각 개별 당사자에게 공개하거나 공유할 필요 없이 매우 민감한 데이터를 조인하고 처리할 수 있습니다. 다자간 계산을 같은 조직 내에서 수행하여 작업 분담을 설정할 수도 있습니다.
고객 사례
“ACINQ는 비트코인 기반의 개방형 고성능 결제 네트워크인 Lightning Network의 주요 개발사이자 운영자 중 하나입니다. AWS Nitro Enclaves 내에서 결제 노드를 실행하는 방법으로 코드를 거의 수정하지 않고도 펀드를 제어하는 프라이빗 키에 필요한 높은 수준의 보호를 달성할 수 있었습니다. AWS Nitro Enclaves 내에서 암호학적으로 증명된 복잡한 애플리케이션을 실행할 수 있다는 점은 보안 관점에서 볼 때 게임 체인저라고 할 수 있습니다. 뿐만 아니라 하드웨어 지갑을 사용하는 것과 같은 추가 보안 조치를 구현하여 시스템을 관리할 수 있습니다. 당사는 AWS Nitro Enclaves를 사용하여 전체 네트워크에서 가장 안전한 결제 노드 중 하나를 운영하고 있으며, 더 많은 서비스를 AWS Nitro Enclaves로 이전하여 전체 시스템의 공격 표면을 줄여나갈 계획입니다.“
Fabrice Drouin, ACINQ 공동 창립자 겸 CTO
“Anjuna는 AWS Nitro Enclaves를 활용하여 기업에서 가치가 높은 자산을 보호하는 방식을 혁신했습니다. 이제 고객은 EC2에서 격리된 컴퓨팅 환경을 설정하고 관리하여 애플리케이션을 리코딩하거나 리팩터링할 필요 없이 몇 분 안에 클라우드 워크로드를 처리하고 강화할 수 있습니다. Nitro Enclaves에 구축된 Anjuna Confidential Computing 소프트웨어는 개인 식별 정보(PII), 독점 알고리즘, 멀티파티 계산(MPC) 애플리케이션, 데이터베이스 및 키/비밀 관리 등 기밀 데이터 및 민감한 데이터를 처리하는 애플리케이션의 공격 표면을 줄여줍니다. Anjuna의 소프트웨어는 AWS Nitro Enclaves를 통해 금융 서비스, 핀테크, 암호화, 정부, 의료 및 SaaS 공급자 등 엄격한 규제를 받는 산업의 고객에게 더 나은 서비스를 제공합니다.”
Ayal Yogev, Anjuna Security CEO 겸 공동 창립자
“Cape Privacy는 클라우드를 활용하는 AI의 데이터 보안과 개인 정보 보호에 중점을 둡니다. Cape API를 사용하면 민감한 데이터 또는 기밀 데이터가 포함될 수 있는 사용자 지정된 기술 자료에 대규모 언어 모델을 활용할 수 있습니다. Cape API는 대규모 언어 모델 사용의 가치를 손상하지 않으면서 고객 데이터에 대한 프라이버시를 제공하도록 설계되었습니다. Amazon EC2에서 Cape 모델을 사용하면 Cape Privacy의 접근 방식에 확신을 가지고 민감한 데이터를 보호할 수 있습니다. AWS Nitro System을 기반으로 다양한 프라이버시 유지 데이터 처리 기술이 적용된 AWS Nitro Enclaves를 사용하여 사용자의 데이터를 볼 수 없도록 하기 때문입니다.“
Ché Wijesinghe, Cape Privacy CEO
"가용성이 뛰어난 보안 검사기 인프라는 Crypto.org 체인과 같은 지속 가능한 암호 화폐 네트워크에서 매우 중요한 역할을 합니다. 특히, 보안 및 강화가 필요한 한 가지 핵심 영역은 바로 합의 프로토콜 메시지의 서명입니다. 당사 클라우드 인프라 내에서 AWS Nitro Enclaves 및 AWS KMS를 사용하여 Crypto.com과 외부 파트너는 이러한 서명 프로세스를 손쉽게 크기를 조정하고 배포하며 관리할 수 있습니다. AWS Nitro Enclaves는 보안 키 관리를 위한 비용 효율적인 강화 및 격리 기능을 제공합니다."
Tomas Tauber, Crypto.com 체인 부문 책임자
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
“암호 관리자인 Dashlane은 조직의 가장 민감한 데이터 중 일부를 보호하는 역할을 담당하고 있습니다. AWS Nitro Enclaves를 사용하여 고객은 통합 설정 시간을 절반으로 줄이면서 최고 수준의 보안을 확보할 수 있습니다. AWS Nitro Enclaves는 암호화 키를 완전히 분리하는 혁신적인 방법을 제공하므로 조직은 데이터가 비공개로 보호되고 Dashlane을 비롯한 무단 당사자가 키를 보거나 액세스할 수 없음을 확신할 수 있습니다.“
Dashlane 최고 기술 책임자, Frederic Rivain
"금융, 의료, 자격 증명 및 독점 데이터와 같은 매우 민감한 정보의 보호와 처리는 Evervault의 암호화 인프라에서 기본적인 사용 사례 중 하나입니다. Evervault의 핵심에는 Evervault Encryption Engine(E3)이 있으며, 이 제품은 모든 암호화 작업을 수행하고 고객을 위해 암호화 키를 처리합니다. E3은 AWS Nitro Enclaves에 구축되어, 민감한 데이터 처리를 위한 고도로 제한되고, 격리 및 강화된 컴퓨팅 환경을 제공합니다. Nitro Enclaves에 E3를 구축하면서, 다른 모든 Evervault 제품과 서비스에 대한 강력한 기반과 암호화 증명을 통해 보안 모두를 제공할 수 있게 되었습니다. 추가 비용이 없는 Nitro Enclaves를 통해 고객에게 매우 안전하고 비용 효율적이며 확장 가능한 서비스를 제공할 수 있습니다. 이 서비스는 초당 수천 건의 암호화 작업을 처리할 수 있습니다."
Shane Curran, Evervault 창립자 겸 CEO
"Footprint의 사명은 인터넷에 대한 신뢰를 되살리는 것입니다. 당사는 가장 정교하고 강력한 보관 아키텍처를 사용하여 고객과 해당 사용자의 민감한 금융 및 개인 데이터를 저장, 암호화 및 처리하는 것을 최우선 순위로 삼습니다. 이 목표를 달성하기 위해 당사는 세계적인 등급의 보안을 제공하는 AWS Nitro Enclaves를 기반으로 Footprint의 핵심 보관 인프라를 구축했습니다. AWS Nitro Enclaves는 CPU, 메모리 및 네트워크 격리 환경에서 암호화 방식으로 서명되고 증명되는 코드를 실행하여 공격 표면을 극단적으로 낮추고 오늘날 일반적으로 사용되는 비즈니스 접근 방식을 능가하는 보안 기반을 제공할 수 있습니다.”
Alex Grinman, Footprint Co-founder 겸 CTO
"기밀 컴퓨팅의 선구자인 Fortanix는 다자간 데이터 협업, 페더레이션 기계 학습, 기밀 데이터 검색 사용 사례를 지원합니다. Fortanix 고객은 Confidential Computing Manager를 사용하여 기밀 애플리케이션을 리프트 앤드 시프트하고 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 활성화된 다양한 AWS Nitro Enclaves에서 실행하여 사용 중에도 민감한 데이터를 보호할 수 있습니다. Fortanix는 의료, 핀테크, 금융 서비스 및 제조를 비롯한 다양한 산업의 고객이 전체 데이터 수명 주기(저장 중, 이동 중, 사용 중인 데이터)에 걸쳐 향상된 보안과 보호된 데이터를 통해 AWS 마이그레이션을 가속화할 수 있도록 지원합니다."
Anand Kashyap, CEO, Fortanix
“Itaú Digital Assets는 Itaú Unibanco에서 블록체인 기술을 사용한 솔루션 개발을 담당하는 사업부입니다. 이 상황에서 Nitro Enclaves는 암호화 자산 보관 서비스의 암호화 키 조작을 위한 안전한 환경을 조성하고, 공격 표면을 줄이는 동시에 데이터 처리를 위한 또 다른 보호 계층을 추가하는 데 도움이 되었습니다. 이 높은 수준의 보호는 우리 기관의 주요 원칙 중 하나인 보안 우수성과 관련된 복잡한 솔루션을 실행할 수 있게 해주는 핵심 요소였습니다.”
Carlos Eduardo Mazzei, Itaú Unibanco Chief Technology Officer
"M10 Networks, Inc는 중앙 은행 디지털 통화 및 토큰과 관련된 규제 책임을 개발 및 분산하기 위한 서비스인 M10 Ledger Platform을 AWS에서 개발하고 배포하고 있습니다. Ledger Platform은 AWS Nitro Enclaves를 사용하여 서명 확인 및 배치 단위로 거래의 암호화 재서명을 수행합니다. AWS 최신 M6i 인스턴스에서 AWS Nitro Enclaves를 사용하는 M10은 디지털 통화 시장에서 뛰어난 성능과 비용 효율적인 솔루션을 제공할 수 있습니다."
Sascha Wise, M10 Founding Engineer
“서비스형 ID(IDaaS) 기업인 Okta는 모두가 모든 디바이스의 모든 애플리케이션에 연결할 수 있도록 돕습니다. Okta는 클라우드 또는 온프레미스 애플리케이션을 사용하는 고객에게 엔터프라이즈급 ID 관리 서비스를 제공합니다. Okta의 특권 액세스 관리(PAM) 솔루션은 특권 액세스 관리, 보안 인증 정보 보관, 규정 준수 보고와 같은 중요한 PAM 기능을 핵심 Identity and Access Management(IAM) 솔루션에 도입하여 위험을 관리할 수 있도록 지원합니다. Okta는 Nitro Enclaves를 사용하여 해당하는 Okta PAM 솔루션에서 고객 인프라 보안 인증 정보를 안전하게 관리하고 저장합니다. Okta의 PAM 솔루션은 Nitro Enclaves 지원을 활용하여 검증되고 암호로 증명된 환경에서 고객의 보안 인증 정보를 관리합니다. Okta는 AWS Nitro Enclaves를 사용하여 심층 방어 아키텍처의 일부로 공격을 차단합니다. Okta는 Nitro Enclaves를 기반으로 Okta Privileged Access의 기능을 확장하여 고객 에코시스템에 대한 액세스를 보호하기 위한 안전한 기반을 지속적으로 구축해 나갈 것입니다.”
Smitha Prasad, Okta Engineering 부문 Director