AWS Nitro Enclaves

Обеспечьте дополнительную изоляцию для более эффективной защиты конфиденциальных данных в инстансах EC2

С помощью сервиса AWS Nitro Enclaves клиенты могут создавать изолированные вычислительные среды для дополнительной защиты и безопасной обработки строго конфиденциальных данных, таких как персональная информация (PII), медицинские и финансовые записи, интеллектуальная собственность, в своих инстансах Amazon EC2. В Nitro Enclaves используется тот же гипервизор Nitro, который обеспечивает изоляцию ЦПУ и памяти для инстансов EC2.

Благодаря Nitro Enclaves клиенты смогут уменьшить потенциально уязвимые области в защите наиболее чувствительных приложений для обработки данных. Enclaves предлагает изолированную, защищенную и строго ограниченную среду для размещения критически важных приложений. Nitro Enclaves проводит криптографическую аттестацию программного обеспечения клиента, чтобы можно было выполнять только авторизованный код. Кроме того, сервис интегрирован с AWS Key Management Service, чтобы только клиентские анклавы могли получить доступ к конфиденциальным материалам.

На данный момент дополнительная плата за использование AWS Nitro Enclaves не взимается. Исключением является только плата за использование инстансов Amazon EC2 и других сервисов AWS, применяемых совместно с Nitro Enclaves.

Представляем Nitro Enclaves
Обзор AWS Nitro Enclaves

Преимущества

Дополнительная изоляция и безопасность

Анклавы – это полностью изолированные виртуальные машины с усиленной защитой и ограничениями. В них нет постоянного хранилища, интерактивного доступа и внешних сетевых подключений. Инстанс клиента и анклав обмениваются данными по защищенному локальному каналу. Даже пользователь с правами root или администратор инстанса не сможет получить доступ или установить SSH-подключение к анклаву.

Nitro Enclaves использует проверенную технологию изоляции гипервизора Nitro, чтобы еще больше изолировать ЦП и память анклава от пользователей, приложений и библиотек в родительском инстансе. Эти возможности помогают изолировать анклав и программное обеспечение, а также значительно уменьшают потенциально уязвимые области.

Криптографическая аттестация

Благодаря аттестации клиент сможет проверить удостоверение анклава и убедиться, что в нем запускается только авторизованный код. Аттестация выполняется через гипервизор Nitro, который генерирует подписанный документ для анклава, подтверждающий личность стороннему партнеру или сервису. Аттестационные документы содержат ключевые сведения об анклаве, например публичный ключ, хэши изображения и приложений и многое другое. Nitro Enclaves интегрирован с сервисом AWS KMS, который может обрабатывать и проверять аттестационные документы анклава.

Гибкость

Сервис Nitro Enclaves отличается высокой гибкостью. Вы можете создавать анклавы, используя различные комбинации ядер процессора и вариантов памяти. Такая гибкость гарантирует, что у вас будет достаточно ресурсов для запуска тех же приложений с интенсивным использованием памяти и вычислительных ресурсов, которые вы уже выполняли в существующих инстансах EC2. Сервис Nitro Enclaves не зависит от процессора, поэтому его можно использовать в инстансах с процессорами разных производителей. Он также совместим со всеми языками программирования и платформами. Более того, так как код многих компонентов Nitro Enclaves находится в открытом доступе, клиент может самостоятельно просмотреть и проверить его.

Принцип работы

Принцип работы Nitro Enclaves

Рисунок 1. Принцип работы Nitro Enclaves

product-page-diargam_Nitro-Enclaves_Enclaves@2x

Рисунок 2. Сервис Nitro Enclaves использует тот же гипервизор Nitro, который изолирует ЦПУ и память в инстансах EC2, для разделения анклавов и инстансов EC2.

product-page-diargam_Nitro-Enclaves_Equations@2x

Рисунок 3. Анклав создается путем сегментирования ЦП и памяти инстанса EC2, называемого родительским инстансом. Вы можете создавать анклавы, используя различные комбинации ядер процессора и вариантов памяти. Выше приведен пример использования инстанса m5.4xlarge, разделенного на родительский инстанс (14 виртуальных ЦП, 32 ГиБ памяти) и анклав (2 виртуальных ЦП, 32 ГиБ памяти). Связь между родительским инстансом и анклавом обеспечивается с помощью безопасного локального подключения под названием vSock.

Примеры использования

Защита закрытых ключей

Теперь клиенты могут изолировать и использовать закрытые ключи (например, SSL/TLS) в анклаве, чтобы запретить пользователям, приложениям и библиотекам в родительском инстансе просматривать эти ключи. Обычно эти закрытые ключи хранятся в инстансе EC2 в виде обычного текста.

AWS Certificate Manager (ACM) for Nitro Enclaves – это приложение для анклавов, которое дает возможность использовать открытые и закрытые сертификаты SSL/TLS с веб-приложениями и серверами в инстансах Amazon EC2 с AWS Nitro Enclaves.

Токенизация

Токенизация – это процесс преобразования строго конфиденциальных данных (например, номеров кредитных карт или медицинской информации) в токен. С помощью Nitro Enclaves клиенты могут запустить приложение, которое выполняет это преобразование в анклаве. Зашифрованные данные можно отправлять в анклав, где они расшифровываются и обрабатываются. Родительский инстанс EC2 не сможет просматривать конфиденциальные данные и получать доступ к ним в ходе этого процесса.

Многосторонние вычисления

Благодаря возможности криптографической аттестации в Nitro Enclaves клиенты могут настроить многосторонние вычисления. При этом несколько сторон могут совместно обрабатывать строго конфиденциальные данные, не разглашая фактическую информацию каждой из сторон. Многосторонние вычисления также могут выполняться в рамках одной организации, чтобы обеспечить разделение обязанностей.

Истории клиентов

Anuja Security
«Компания Anjuna применила корпоративный подход к защите ценных активов с помощью AWS Nitro Enclaves. Теперь наши клиенты могут настраивать изолированные вычислительные среды и управлять ими в EC2 для обработки и укрепления облачных рабочих нагрузок за считанные минуты без необходимости переписывать код или проводить рефакторинг приложений. ПО Anjuna Confidential Computing на основе Nitro Enclaves сокращает площадь атаки для приложений по обработке конфиденциальных данных, персональных данных (PII), проприетарных алгоритмов , приложений для многосторонних вычислений (MPC), баз данных и управления ключами/конфиденциальными данными. AWS Nitro Enclaves позволяет программному обеспечению Anjuna лучше обслуживать клиентов в строго регулируемых отраслях, таких как финансовые услуги, финансовые технологии, криптовалюта, государственное управление, здравоохранение и SaaS».

Аял Йогев, генеральный директор и соучредитель, Anjuna Security

Crypto.com
«Высокодоступная и безопасная инфраструктура средства проверки крайне важна для устойчивых сетей криптовалют (таких как цепь Crypto.org). В частности, необходимо обеспечить и укрепить один из ключевых аспектов – подписание сообщений протокола согласия. Благодаря AWS Nitro Enclaves и AWS KMS в рамках нашей облачной инфраструктуры проще масштабировать, развертывать и управлять процессом подписания как для Crypto.com, так и для внешних партнеров. AWS Nitro Enclaves обеспечивает экономически выгодное усиление и изоляцию для безопасного управления ключами».

Томас Таубер, глава цепи Crypto.com

Evervault
«Защита и обработка крайне конфиденциальной информации, например финансовых, медицинских, идентификационных и личных данных, – это один из основных примеров использования инфраструктуры шифрования Evervault. В основе Evervault лежит механизм шифрования Evervault Encryption Engine (E3), который выполняет все криптографические операции и обрабатывает ключи шифрования клиентов. E3 построен на базе AWS Nitro Enclaves, благодаря чему обеспечена изолированная, защищенная и обособленная вычислительная среда для обработки конфиденциальных данных. За счет создания E3 на Nitro Enclaves мы можем предложить как безопасность криптографической сертификации, так и надежную основу остальных продуктов и услуг Evervault. Nitro Enclaves позволяет без каких-либо дополнительных затрат предоставить клиентам высокозащищенный, экономичный и масштабируемый сервис, способный обрабатывать тысячи криптографических операций в секунду».

Шейн Карран, основатель и генеральный директор Evervault

M10 Networks, Inc.
«Компания M10 Networks, Inc разрабатывает и развертывает на AWS свою платформу M10 Ledger – сервис для разработки и распространения цифровых валют центральных банков и токенизированных регулируемых обязательств. Платформа Ledger использует AWS Nitro Enclaves для выполнения проверки подписи и криптографического повторного подписания партий транзакций. Используя AWS Nitro Enclaves на новейших инстансах AWS M6i, M10 может предоставить производительное и экономически эффективное решение для рынка цифровых валют».

Саша Вайз, инженер-основатель M10