AWS Nitro Enclaves
O AWS Nitro Enclaves permite que os clientes criem ambientes de computação isolados para proteger e processar com mais segurança dados altamente confidenciais, como informações de identificação pessoal (PII), informações de saúde, dados financeiros e dados de propriedade intelectual em suas instâncias do Amazon EC2. O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que fornece isolamento de CPU e memória para instâncias do EC2.
O Nitro Enclaves ajuda os clientes a reduzir a área de superfície de ataque para os seus aplicativos de processamento de dados mais sensíveis. O Enclaves oferece um ambiente isolado, reforçado e altamente restrito para hospedar aplicativos críticos para a segurança. O Nitro Enclaves inclui atestado criptográfico para o seu software, para garantir que apenas o código autorizado esteja em execução, bem como integração com o AWS Key Management Service, para que apenas seus enclaves possam acessar material confidencial.
Não há cobranças adicionais por usar o AWS Nitro Enclaves além das praticadas pelo uso de instâncias do Amazon EC2 e quaisquer outros serviços da AWS que sejam usados com o Nitro Enclaves.
Benefícios
Isolamento e segurança adicionais
Os enclaves são máquinas virtuais totalmente isoladas, protegidas e muito restritas. Eles não possuem armazenamento persistente, acesso interativo e nem conexão com redes externas. A comunicação entre a sua instância e o seu enclave é feita por meio de um canal local seguro. Mesmo que você seja um usuário root ou administrador na instância, não será capaz de acessar ou utilizar SSH no enclave.
O Nitro Enclaves utiliza o isolamento comprovado do Nitro Hypervisor para isolar ainda mais a CPU e a memória do enclave em relação aos usuários, aplicações e bibliotecas na instância pai. Esses recursos ajudam a isolar o enclave e o seu software, além de reduzirem significativamente a área de superfície de ataque.
Atestado criptográfico
Um atestado permite verificar a identidade do enclave e se apenas o código autorizado está em execução no seu enclave. O processo de atestado é realizado por meio do Nitro Hypervisor, que produz um documento de atestado assinado para o enclave, para provar sua identidade a outra parte ou serviço. Documentos de atestado contêm detalhes importantes do enclave, como a chave pública do enclave, os hashes da imagem e dos aplicativos do enclave e muito mais. O Nitro Enclaves inclui integração com o AWS KMS, em que o KMS pode ler e verificar esses documentos de atestado enviados pelo enclave.
Flexível
Os Nitro Enclaves são flexíveis. Você pode criar enclaves com combinações variadas de núcleos de CPU e memória. Isso garante a posse de recursos suficientes para executar as mesmas aplicações que consomem muita memória ou computação que você já estava executando nas suas instâncias do EC2 existentes. Os Nitro Enclaves não dependem do processador e podem ser usados em instâncias com tecnologia de diferentes fornecedores de CPU. Também são compatíveis com qualquer linguagem ou estrutura de trabalho de programação. Além disso, uma vez que muitos componentes do Nitro Enclaves são de código aberto, o cliente pode até mesmo inspecionar o código e validá-lo por conta própria.
Como ele funciona
Figura 1: Fluxo do processo de funcionamento do Nitro Enclaves
Figura 2: O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que cria o isolamento da CPU e da memória entre instâncias do EC2, para criar o isolamento entre uma instância do Enclave e do EC2.
Figura 3: um enclave é criado pelo particionamento da CPU e da memória de uma instância do EC2, chamada de instância pai. Você pode criar enclaves com combinações variadas de núcleos de CPU e memória. Acima há um exemplo de uso da divisão de uma m5.4xlarge em uma instância pai (14 vCPUs, 32 GiB de memória) e Enclave (2 vCPUs, 32 GiB de memória). A comunicação entre a instância pai e o enclave é feita por uma conexão local segura chamada de vsock.
Casos de uso
Proteção de chaves privadas
Os clientes já podem isolar e usar chaves privadas (por exemplo, SSL/TLS) em um enclave, ao mesmo tempo que evitam que usuários, aplicações e bibliotecas na instância pai visualizem essas chaves. Normalmente, essas chaves privadas são armazenadas na instância do EC2 em texto simples.
O AWS Certificate Manager (ACM) para Nitro Enclaves é uma aplicação de enclave que permite a utilização de certificados SSL/TLS privados e públicos com suas aplicações Web e servidores executados em instâncias do Amazon EC2 com o AWS Nitro Enclaves.
Tokenização
A tokenização é um processo que converte dados altamente confidenciais, como números de cartões de crédito ou dados de assistência médica, em um token. Com os Nitro Enclaves, os clientes podem executar a aplicação que faz essa conversão dentro de um enclave. Os dados criptografados podem ser enviados para o enclaves, onde são descriptografados e, em seguida, processados. A instância pai do EC2 não será capaz de visualizar ou acessar os dados confidenciais durante todo esse processo.
Computação de várias partes
Usando a capacidade criptográfica de atestados dos Nitro Enclaves, os clientes podem configurar computação de várias partes, em que várias partes podem ingressar e processar dados altamente confidenciais sem ter que divulgar ou compartilhar os dados reais com cada parte individual. A computação de várias partes também pode ser feita na mesma organização para estabelecer a separação de tarefas.
Recursos
- Guia do usuário do AWS Nitro Enclaves
- Conceitos básicos do Nitro Enclaves
- ACM para Nitro Enclaves
- CLI do AWS Nitro Enclaves
- API NSM do AWS Nitro Enclaves
- SDK do AWS Nitro Enclaves
- Blog: AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data
- Novidades: Nitro Enclaves
- Novidades: ACM para Nitro Enclaves
Histórias de sucesso dos clientes
“A ACINQ é uma das principais desenvolvedoras e operadoras da Lightning Network, uma rede de pagamento aberta e de alta performance baseada em Bitcoin. Ao administrar nossos nós de pagamento no AWS Nitro Enclaves, conseguimos alcançar o alto nível de proteção de que precisamos para as chaves privadas que controlam nossos fundos com quase nenhuma modificação de código. A capacidade de executar aplicações complexas e criptograficamente atestadas dentro do AWS Nitro Enclaves é um divisor de águas do ponto de vista da segurança e nos permite implementar medidas extras de segurança, como o uso de carteiras de hardware para administrar nossos sistemas. Usando o AWS Nitro Enclaves, operamos um dos nós de pagamento mais seguros da rede e planejamos transferir mais serviços para o AWS Nitro Enclaves a fim de reduzir a superfície de ataque de nosso sistema geral.”
Fabrice Drouin, cofundador e CTO da ACINQ
“A Anjuna inovou um maneira pronta para uso empresarial de proteger ativos de valor elevado usando o AWS Nitro Enclaves. Agora, nossos clientes podem configurar e gerenciar ambientes de computação isolados no EC2 para processar e proteger workloads na nuvem em questão de minutos sem recodificar ou refatorar aplicações. O software Anjuna Confidential Computing, criado no Nitro Enclaves, reduz a superfície de ataque de aplicações de processamento de dados sigilosos e confidenciais: informações de identificação pessoal (PII), algoritmos proprietários, aplicações de multiparty computation (MPC – computação multipartidária), bancos de dados e gerenciamento de chaves/segredos. O AWS Nitro Enclaves permite que o software da Anjuna ofereça melhores serviços aos clientes em setores altamente regulamentados, como serviços financeiros, fintech, criptografia, saúde e provedores de software como serviço (SaaS).”
Ayal Yogev, CEO e cofundador da Anjuna Security
“A Cape Privacy está focada na segurança e privacidade de dados para IA que utiliza a nuvem. As empresas podem usar a API Cape para aproveitar a capacidade dos grandes modelos de linguagem em uma base de conhecimento personalizada que pode incluir dados sigilosos ou confidenciais. A API Cape foi criada para fornecer privacidade aos dados do cliente sem comprometer o valor do uso de um grande modelo de linguagem. Os clientes que usam modelos Cape no Amazon EC2 podem contar com a abordagem da Cape Privacy para proteger seus dados sigilosos, pois a empresa usa o AWS Nitro Enclaves, além do AWS Nitro System, com várias técnicas de processamento de dados que preservam a privacidade para garantir que ninguém consiga visualizar seus dados.”
Ché Wijesinghe, CEO da Cape Privacy
"Infraestrutura com validador seguro e altamente disponível é crucial para redes sustentáveis de criptomoedas (como a cadeia Crypto.org). Especificamente, um aspecto fundamental que precisa ser garantido e protegido é a assinatura de mensagens de protocolo de consenso. Em nossa infraestrutura de nuvem, o AWS Nitro Enclaves e o AWS KMS facilitam para a Crypto.com e nossos parceiros externos escalar, implantar e gerenciar esses processos de assinatura. O AWS Nitro Enclaves fornece isolamento e proteção econômica para um gerenciamento de chaves seguro.”
Tomas Tauber, líder da cadeia, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
“Como um gerenciador de senhas, o Dashlane é responsável por proteger alguns dos dados mais confidenciais das organizações. Ao usar o AWS Nitro Enclaves, nossos clientes podem reduzir pela metade o tempo de configuração da integração e, ao mesmo tempo, garantir o mais alto nível de segurança. O AWS Nitro Enclaves oferece uma forma inovadora de isolar totalmente as chaves de criptografia, permitindo que as organizações tenham certeza de que seus dados são privados e estão protegidos e de que nenhuma parte não autorizada, incluindo a Dashlane, possa ver ou acessar as chaves.”
Frederic Rivain, diretor de tecnologia, Dashlane
"Proteger e processar informações altamente confidenciais, como financeiras, de saúde, de identidade e de dados proprietários, são os principais casos de uso para a infraestrutura de criptografia da Evervault. No centro da Evervault está o nosso mecanismo de criptografia Evervault (E3), que realiza todas as operações de criptografia e opera as chaves de criptografia para nossos clientes. O E3 é desenvolvido do AWS Nitro Enclaves que fornece um ambiente de computação isolado, protegido e altamente limitado para o processamento de dados sigilosos. O desenvolvimento do E3 no Nitro Enclaves significa que podemos fornecer segurança por meio de um atestado de criptografia e uma fundação robusta para todos os produtos e serviços da Evervault. Sem qualquer custo adicional, o Nitro Enclaves nos possibilita fornecer um serviço escalável, econômico e altamente seguro para nossos clientes; um serviço que é capaz de controlar milhares de operações de criptografia por segundo.”
Shane Curran, fundador e CEO, Evervault
“A missão da Footprint é retornar a confiança na Internet, e nossa prioridade é usar a arquitetura de cofres mais robusta e sofisticada para armazenar, criptografar e processar informações financeiras e dados pessoais confidenciais para nossos clientes e seus usuários. Para isso, criamos e arquitetamos a infraestrutura de cofres principal da Footprint no AWS Nitro Enclaves, devido à segurança de classe internacional que ele oferece, incluindo a capacidade de executar código atestado e assinado criptograficamente em um ambiente isolado de CPU, memória e rede para reduzir imensamente a área de superfície de ataques e fornecer aos clientes uma base de segurança que supera todas as abordagens comerciais usadas atualmente”.
Alex Grinman co-fundador e diretor de tecnologia da Footprint
“A Fortanix, pioneira em computação confidencial, capacita a colaboração de dados com várias partes, o machine learning federado e casos de uso de pesquisa de dados confidenciais. Os clientes da Fortanix podem usar o Confidential Computing Manager para transferir e transferir seus aplicações confidenciais e executá-las em uma ampla variedade de AWS Nitro Enclaves habilitados nas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) para garantir que dados confidenciais permaneçam protegidos durante o uso. A Fortanix ajuda clientes de diversos setores, incluindo saúde, fintech, serviços financeiros e manufatura, a acelerar suas migrações para a AWS com segurança aprimorada e dados protegidos em todo o ciclo de vida dos dados: em repouso, em movimento e em uso.”
Anand Kashyap, CEO da Fortanix
“O Itaú Digital Assets é a unidade de negócios do Itaú Unibanco responsável pelo desenvolvimento de soluções usando a tecnologia blockchain. Nesse contexto, o Nitro Enclaves nos ajudou a criar um ambiente seguro para a manipulação de chaves criptográficas de nossos serviços de custódia de criptoativos, adicionando mais uma camada de proteção para o processamento de dados e, ao mesmo tempo, reduzindo a superfície de ataque. Esse alto nível de proteção foi um fator chave que permitiu a execução de soluções complexas associadas à excelência em segurança, um dos principais pilares de nossa instituição.”
Carlos Eduardo Mazzei, diretor de tecnologia do Itaú Unibanco
“A M10 Networks, Inc desenvolveu e implantou a plataforma M10 Ledger, um serviço para desenvolver e distribuir moedas digitais de banco central e passivos indexados regulamentados, na AWS. A plataforma Ledger usa o AWS Nitro Enclaves para realizar a verificação de assinatura e a nova assinatura criptográfica de lotes de transações. Ao usar o AWS Nitro Enclaves nas instâncias M6i mais recentes da AWS, a M10 consegue fornecer uma solução de alta performance e bom custo-benefício ao mercado de moedas digitais.”
Sascha Wise, engenheiro fundador da M10
"A Okta, uma empresa de Identidade como Serviço (IDaaS), ajuda a conectar qualquer pessoa com qualquer aplicação em qualquer dispositivo. A Okta fornece serviço de gerenciamento de identidade de nível corporativo para clientes na nuvem ou usando aplicações on-premises. A solução Privileged Access Management (PAM) da Okta ajuda as organizações a gerenciar riscos trazendo recursos críticos de PAM para a solução básica de gerenciamento de identidade e acesso, incluindo gerenciamento de acesso privilegiado, armazenamento de credenciais e relatórios de conformidade. A Okta usa o Nitro Enclaves para gerenciar e armazenar com segurança as credenciais de infraestrutura do cliente em sua respectiva solução Okta PAM. A solução PAM da Okta aproveita a ajuda do Nitro Enclaves para gerenciar as credenciais do cliente em um ambiente verificado e certificado criptograficamente. Usando o AWS Nitro Enclaves, a Okta protege os clientes contra ataques como parte de nossa arquitetura de defesa em profundidade. A Okta espera expandir as capacidades do Okta Privileged Access além dos Nitro Enclaves, continuando a construir uma base segura para proteger o acesso ao ecossistema do cliente."
Smitha Prasad, diretora de engenharia da Okta