AWS Nitro Enclaves

Crie isolamento adicional para proteger ainda mais os dados altamente confidenciais em instâncias do EC2

O AWS Nitro Enclaves permite que os clientes criem ambientes de computação isolados para proteger e processar com mais segurança dados altamente confidenciais, como informações de identificação pessoal (PII), informações de saúde, dados financeiros e dados de propriedade intelectual em suas instâncias do Amazon EC2. O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que fornece isolamento de CPU e memória para instâncias do EC2.

O Nitro Enclaves ajuda os clientes a reduzir a área de superfície de ataque para os seus aplicativos de processamento de dados mais sensíveis. O Enclaves oferece um ambiente isolado, reforçado e altamente restrito para hospedar aplicativos críticos para a segurança. O Nitro Enclaves inclui atestado criptográfico para o seu software, para garantir que apenas o código autorizado esteja em execução, bem como integração com o AWS Key Management Service, para que apenas seus enclaves possam acessar material confidencial.

Não há cobranças adicionais por usar o AWS Nitro Enclaves além das praticadas pelo uso de instâncias do Amazon EC2 e quaisquer outros serviços da AWS que sejam usados com o Nitro Enclaves.

Apresentação do Nitro Enclaves
Visão geral do AWS Nitro Enclaves

Benefícios

Isolamento e segurança adicionais

Os enclaves são máquinas virtuais totalmente isoladas, protegidas e muito restritas. Eles não possuem armazenamento persistente, acesso interativo e nem conexão com redes externas. A comunicação entre a sua instância e o seu enclave é feita por meio de um canal local seguro. Mesmo que você seja um usuário root ou administrador na instância, não será capaz de acessar ou utilizar SSH no enclave.

O Nitro Enclaves utiliza o isolamento comprovado do Nitro Hypervisor para isolar ainda mais a CPU e a memória do enclave em relação aos usuários, aplicações e bibliotecas na instância pai. Esses recursos ajudam a isolar o enclave e o seu software, além de reduzirem significativamente a área de superfície de ataque.

Atestado criptográfico

Um atestado permite verificar a identidade do enclave e se apenas o código autorizado está em execução no seu enclave. O processo de atestado é realizado por meio do Nitro Hypervisor, que produz um documento de atestado assinado para o enclave, para provar sua identidade a outra parte ou serviço. Documentos de atestado contêm detalhes importantes do enclave, como a chave pública do enclave, os hashes da imagem e dos aplicativos do enclave e muito mais. O Nitro Enclaves inclui integração com o AWS KMS, em que o KMS pode ler e verificar esses documentos de atestado enviados pelo enclave.

Flexível

Os Nitro Enclaves são flexíveis. Você pode criar enclaves com combinações variadas de núcleos de CPU e memória. Isso garante a posse de recursos suficientes para executar as mesmas aplicações que consomem muita memória ou computação que você já estava executando nas suas instâncias do EC2 existentes. Os Nitro Enclaves não dependem do processador e podem ser usados em instâncias com tecnologia de diferentes fornecedores de CPU. Também são compatíveis com qualquer linguagem ou estrutura de trabalho de programação. Além disso, uma vez que muitos componentes do Nitro Enclaves são de código aberto, o cliente pode até mesmo inspecionar o código e validá-lo por conta própria.

Como ele funciona

Como funciona o Nitro Enclaves

Figura 1: Fluxo do processo de funcionamento do Nitro Enclaves

Figura 2: O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que cria o isolamento da CPU e da memória entre instâncias do EC2, para criar o isolamento entre uma instância do Enclave e do EC2.

Figura 3: um enclave é criado pelo particionamento da CPU e da memória de uma instância do EC2, chamada de instância pai. Você pode criar enclaves com combinações variadas de núcleos de CPU e memória. Acima há um exemplo de uso da divisão de uma m5.4xlarge em uma instância pai (14 vCPUs, 32 GiB de memória) e Enclave (2 vCPUs, 32 GiB de memória). A comunicação entre a instância pai e o enclave é feita por uma conexão local segura chamada de vsock.

Casos de uso

Proteção de chaves privadas

Os clientes já podem isolar e usar chaves privadas (por exemplo, SSL/TLS) em um enclave, ao mesmo tempo que evitam que usuários, aplicações e bibliotecas na instância pai visualizem essas chaves. Normalmente, essas chaves privadas são armazenadas na instância do EC2 em texto simples.

O AWS Certificate Manager (ACM) para Nitro Enclaves é uma aplicação de enclave que permite a utilização de certificados SSL/TLS privados e públicos com suas aplicações Web e servidores executados em instâncias do Amazon EC2 com o AWS Nitro Enclaves.

Tokenização

A tokenização é um processo que converte dados altamente confidenciais, como números de cartões de crédito ou dados de assistência médica, em um token. Com os Nitro Enclaves, os clientes podem executar a aplicação que faz essa conversão dentro de um enclave. Os dados criptografados podem ser enviados para o enclaves, onde são descriptografados e, em seguida, processados. A instância pai do EC2 não será capaz de visualizar ou acessar os dados confidenciais durante todo esse processo.

Computação de várias partes

Usando a capacidade criptográfica de atestados dos Nitro Enclaves, os clientes podem configurar computação de várias partes, em que várias partes podem ingressar e processar dados altamente confidenciais sem ter que divulgar ou compartilhar os dados reais com cada parte individual. A computação de várias partes também pode ser feita na mesma organização para estabelecer a separação de tarefas.

Histórias de sucesso dos clientes

Anuja Security
“A Anjuna inovou um maneira pronta para uso empresarial de proteger ativos de valor elevado usando o AWS Nitro Enclaves. Agora, nossos clientes podem configurar e gerenciar ambientes de computação isolados no EC2 para processar e proteger workloads na nuvem em questão de minutos sem recodificar ou refatorar aplicações. O software Anjuna Confidential Computing, criado no Nitro Enclaves, reduz a superfície de ataque de aplicações de processamento de dados sigilosos e confidenciais: informações de identificação pessoal (PII), algoritmos proprietários, aplicações de multiparty computation (MPC – computação multipartidária), bancos de dados e gerenciamento de chaves/segredos. O AWS Nitro Enclaves permite que o software da Anjuna ofereça melhores serviços aos clientes em setores altamente regulamentados, como serviços financeiros, fintech, criptografia, saúde e provedores de software como serviço (SaaS).”

Ayal Yogev, diretor executivo e cofundador da Anjuna Security

Crypto.com
"Infraestrutura com validador seguro e altamente disponível é crucial para redes sustentáveis de criptomoedas (como a cadeia Crypto.org). Especificamente, um aspecto fundamental que precisa ser garantido e protegido é a assinatura de mensagens de protocolo de consenso. Em nossa infraestrutura de nuvem, o AWS Nitro Enclaves e o AWS KMS facilitam para a Crypto.com e nossos parceiros externos escalar, implantar e gerenciar esses processos de assinatura. O AWS Nitro Enclaves fornece isolamento e proteção econômica para um gerenciamento de chaves seguro.”

Tomas Tauber, líder da cadeia, Crypto.com

Evervault
"Proteger e processar informações altamente confidenciais, como financeiras, de saúde, de identidade e de dados proprietários, são os principais casos de uso para a infraestrutura de criptografia da Evervault. No centro da Evervault está o nosso mecanismo de criptografia Evervault (E3), que realiza todas as operações de criptografia e opera as chaves de criptografia para nossos clientes. O E3 é desenvolvido do AWS Nitro Enclaves que fornece um ambiente de computação isolado, protegido e altamente limitado para o processamento de dados sigilosos. O desenvolvimento do E3 no Nitro Enclaves significa que podemos fornecer segurança por meio de um atestado de criptografia e uma fundação robusta para todos os produtos e serviços da Evervault. Sem qualquer custo adicional, o Nitro Enclaves nos possibilita fornecer um serviço escalável, econômico e altamente seguro para nossos clientes; um serviço que é capaz de controlar milhares de operações de criptografia por segundo.”

Shane Curran, fundador e CEO, Evervault

M10 Networks, Inc.
“A M10 Networks, Inc desenvolveu e implantou a plataforma M10 Ledger, um serviço para desenvolver e distribuir moedas digitais de banco central e passivos indexados regulamentados, na AWS. A plataforma Ledger usa o AWS Nitro Enclaves para realizar a verificação de assinatura e a nova assinatura criptográfica de lotes de transações. Ao usar o AWS Nitro Enclaves nas instâncias M6i mais recentes da AWS, a M10 consegue fornecer uma solução de alta performance e bom custo-benefício ao mercado de moedas digitais.”

Sascha Wise, engenheiro fundador da M10