AWS Nitro Enclaves

Crie isolamento adicional para proteger ainda mais os dados altamente confidenciais em instâncias do EC2

O AWS Nitro Enclaves permite que os clientes criem ambientes de computação isolados para proteger e processar com mais segurança dados altamente confidenciais, como informações de identificação pessoal (PII), informações de saúde, dados financeiros e dados de propriedade intelectual em suas instâncias do Amazon EC2. O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que fornece isolamento de CPU e memória para instâncias do EC2.

O Nitro Enclaves ajuda os clientes a reduzir a área de superfície de ataque para os seus aplicativos de processamento de dados mais sensíveis. O Enclaves oferece um ambiente isolado, reforçado e altamente restrito para hospedar aplicativos críticos para a segurança. O Nitro Enclaves inclui atestado criptográfico para o seu software, para garantir que apenas o código autorizado esteja em execução, bem como integração com o AWS Key Management Service, para que apenas seus enclaves possam acessar material confidencial.

Enclaves são máquinas virtuais conectadas a instâncias do EC2 que não são fornecidas com armazenamento persistente, não têm acesso de administrador ou operador e apenas protegem a conectividade local com a sua instância do EC2.

Nitro_Enclaves_Icon

Benefícios

Isolamento e segurança adicionais

Enclaves são máquinas virtuais totalmente isoladas que não têm armazenamento persistente, não têm acesso de operador ou administrador e têm apenas conectividade local segura. A comunicação entre a sua instância e o seu enclave é feita por meio de um canal local seguro. Esses recursos ajudam a isolar o enclave e o seu software, além de reduzirem significativamente a área de superfície de ataque.

Atestado criptográfico

Um atestado permite verificar se apenas o código autorizado está em execução no seu enclave, além de confirmar a identidade do enclave. O processo de atestado é realizado por meio do Nitro Hypervisor, que produz um documento de atestado assinado para o enclave, para provar sua identidade a outra parte ou serviço. Documentos de atestado contêm detalhes importantes do enclave, como a chave pública do enclave, os hashes da imagem e dos aplicativos do enclave e muito mais. O Nitro Enclaves inclui integração com o AWS KMS, em que o KMS pode ler e verificar esses documentos de atestado enviados pelo enclave.

Alocação flexível de recursos

Você pode criar enclaves com combinações variadas de núcleos de CPU e memória. Isso garante a posse de recursos suficientes para executar os mesmos aplicativos de uso intenso de memória ou computação que você já estava executando nas suas instâncias existentes do EC2.

Como funciona

Diagram_Nitro-Enclaves (1)

Figura 1: O Nitro Enclaves usa a mesma tecnologia Nitro Hypervisor que cria o isolamento da CPU e da memória entre instâncias do EC2, para criar o isolamento entre uma instância do Enclave e do EC2.