Publicado: Oct 28, 2020
O AWS Nitro Enclavesé um novo recurso do EC2 que permite que os clientes criem ambientes de computação isolados (enclaves) para proteger e processar com mais segurança dados altamente sensíveis, como informações de identificação pessoal (PII), informações de saúde, dados financeiros e dados de propriedade intelectual em suas instâncias doAmazon EC2. O Nitro Enclaves ajuda os clientes a reduzir a área de superfície de ataque para as suas aplicações de processamento de dados mais sensíveis.
Hoje, os clientes já utilizam o Amazon EC2 par processar uma grande quantidade de dados altamente sensíveis. Eles protegem esses dados com controles de acesso e criptografia, tanto para os dados ociosos quanto os em trânsito. Porém, durante o processamento, os dados altamente sensíveis são descriptografados. Para protegê-los durante o processamento, os clientes normalmente configuram VPCs separadas, removem software de terceiros desnecessários em suas instâncias, limitam a conectividade, restringem o acesso dos usuários e muito mais. Criar e gerenciar essas frotas isoladas pode exigir recursos operacionais significativos, além de também ser bem complexo. Queríamos facilitar as coisas para os nossos clientes.
Os enclaves são máquinas virtuais separadas, protegidas e muito restritas. Eles não possuem armazenamento persistente, acesso interativo e nem conexão com redes externas. Assim, mesmo que você seja um usuário root ou administrador na instância, não será capaz de acessar ou utilizar SSH no enclave. O Nitro Enclaves utiliza o isolamento comprovado do Nitro Hypervisor para isolar ainda mais a CPU e a memória do enclave em relação aos usuários, aplicações e bibliotecas na instância pai. A única maneira de se comunicar com um enclave é por meio de um soquete local com origem na instância pai conectado ao enclave. Dessa forma, você é capaz de isolar o processamento de dados altamente sensíveis dentro das suas instâncias do EC2 de seus próprios administradores internos, desenvolvedores e outras instâncias do EC2.
Um atestado do Nitro Enclaves permite verificar a identidade do enclave e se apenas o código autorizado está em execução no seu enclave. O Nitro Enclaves está integrado com p AWS Key Management Service para preparar e proteger seus dados sensíveis para o processamento dentro dos enclaves. Os enclaves também podem ser integrados com outros serviços de gestão principais.
O Nitro Enclaves é flexível e pode ser criado com quantidades variáveis de recursos computacionais, além de ser compatível com qualquer linguagem de programação ou estrutura de trabalho. O Nitro Enclaves também independe de processador, estando disponível para a maioria dos tipos de instância do Amazon EC2 baseados em Intel e AMD integrados ao AWS Nitro System. O suporte a instâncias baseadas no AWS Graviton2 chegará em breve. Por fim, uma vez que muitos componentes do Nitro Enclaves são de código aberto, o cliente pode até mesmo inspecionar o código e validá-lo por conta própria.
O ACM para Nitro Enclaves é uma aplicação de enclave de referência que permite a utilização de certificados SSL/TLS privados e públicos do AWS Certificate Manager (ACM) com suas aplicações Web e servidores, como o NGINX, executados em instâncias do Amazon EC2 com o AWS Nitro Enclaves.
Não há custos adicionais além do custo de uso das instâncias do Amazon EC2 e quaisquer outros serviços da AWS utilizados com o Nitro Enclaves e com o ACM para o Nitro Enclaves. O Nitro Enclaves já está disponível nas regiões Leste dos EUA (Virgínia), Oeste dos EUA (Oregon), Europa (Frankfurt, Irlanda, Londres, Paris, Stockholm), Ásia-Pacífico (Hong Kong, Mumbai, Singapura, Sydney e Tóquio) e América do Sul (São Paulo), com mais regiões a caminho.
Para saber mais sobre o AWS Nitro Enclaves e como começar a usá-lo, acesse a página do AWS Nitro Enclaves.