AWS Nitro Enclaves
С помощью сервиса AWS Nitro Enclaves клиенты могут создавать изолированные вычислительные среды для дополнительной защиты и безопасной обработки строго конфиденциальных данных, таких как персональная информация (PII), медицинские и финансовые записи, интеллектуальная собственность, в своих инстансах Amazon EC2. В Nitro Enclaves используется тот же гипервизор Nitro, который обеспечивает изоляцию ЦПУ и памяти для инстансов EC2.
Благодаря Nitro Enclaves клиенты смогут уменьшить потенциально уязвимые области в защите наиболее чувствительных приложений для обработки данных. Enclaves предлагает изолированную, защищенную и строго ограниченную среду для размещения критически важных приложений. Nitro Enclaves проводит криптографическую аттестацию программного обеспечения клиента, чтобы можно было выполнять только авторизованный код. Кроме того, сервис интегрирован с AWS Key Management Service, чтобы только клиентские анклавы могли получить доступ к конфиденциальным материалам.
На данный момент дополнительная плата за использование AWS Nitro Enclaves не взимается. Исключением является только плата за использование инстансов Amazon EC2 и других сервисов AWS, применяемых совместно с Nitro Enclaves.
Преимущества
Дополнительная изоляция и безопасность
Анклавы – это полностью изолированные виртуальные машины с усиленной защитой и ограничениями. В них нет постоянного хранилища, интерактивного доступа и внешних сетевых подключений. Инстанс клиента и анклав обмениваются данными по защищенному локальному каналу. Даже пользователь с правами root или администратор инстанса не сможет получить доступ или установить SSH-подключение к анклаву.
Nitro Enclaves использует проверенную технологию изоляции гипервизора Nitro, чтобы еще больше изолировать ЦП и память анклава от пользователей, приложений и библиотек в родительском инстансе. Эти возможности помогают изолировать анклав и программное обеспечение, а также значительно уменьшают потенциально уязвимые области.
Криптографическая аттестация
Благодаря аттестации клиент сможет проверить удостоверение анклава и убедиться, что в нем запускается только авторизованный код. Аттестация выполняется через гипервизор Nitro, который генерирует подписанный документ для анклава, подтверждающий личность стороннему партнеру или сервису. Аттестационные документы содержат ключевые сведения об анклаве, например публичный ключ, хэши изображения и приложений и многое другое. Nitro Enclaves интегрирован с сервисом AWS KMS, который может обрабатывать и проверять аттестационные документы анклава.
Гибкость
Сервис Nitro Enclaves отличается высокой гибкостью. Вы можете создавать анклавы, используя различные комбинации ядер процессора и вариантов памяти. Такая гибкость гарантирует, что у вас будет достаточно ресурсов для запуска тех же приложений с интенсивным использованием памяти и вычислительных ресурсов, которые вы уже выполняли в существующих инстансах EC2. Сервис Nitro Enclaves не зависит от процессора, поэтому его можно использовать в инстансах с процессорами разных производителей. Он также совместим со всеми языками программирования и платформами. Более того, так как код многих компонентов Nitro Enclaves находится в открытом доступе, клиент может самостоятельно просмотреть и проверить его.
Принцип работы
Рисунок 1. Принцип работы Nitro Enclaves
Рисунок 2. Сервис Nitro Enclaves использует тот же гипервизор Nitro, который изолирует ЦПУ и память в инстансах EC2, для разделения анклавов и инстансов EC2.
Рисунок 3. Анклав создается путем сегментирования ЦП и памяти инстанса EC2, называемого родительским инстансом. Вы можете создавать анклавы, используя различные комбинации ядер процессора и вариантов памяти. Выше приведен пример использования инстанса m5.4xlarge, разделенного на родительский инстанс (14 виртуальных ЦП, 32 ГиБ памяти) и анклав (2 виртуальных ЦП, 32 ГиБ памяти). Связь между родительским инстансом и анклавом обеспечивается с помощью безопасного локального подключения под названием vSock.
Примеры использования
Защита закрытых ключей
Теперь клиенты могут изолировать и использовать закрытые ключи (например, SSL/TLS) в анклаве, чтобы запретить пользователям, приложениям и библиотекам в родительском инстансе просматривать эти ключи. Обычно эти закрытые ключи хранятся в инстансе EC2 в виде обычного текста.
AWS Certificate Manager (ACM) for Nitro Enclaves – это приложение для анклавов, которое дает возможность использовать открытые и закрытые сертификаты SSL/TLS с веб-приложениями и серверами в инстансах Amazon EC2 с AWS Nitro Enclaves.
Токенизация
Токенизация – это процесс преобразования строго конфиденциальных данных (например, номеров кредитных карт или медицинской информации) в токен. С помощью Nitro Enclaves клиенты могут запустить приложение, которое выполняет это преобразование в анклаве. Зашифрованные данные можно отправлять в анклав, где они расшифровываются и обрабатываются. Родительский инстанс EC2 не сможет просматривать конфиденциальные данные и получать доступ к ним в ходе этого процесса.
Многосторонние вычисления
Благодаря возможности криптографической аттестации в Nitro Enclaves клиенты могут настроить многосторонние вычисления. При этом несколько сторон могут совместно обрабатывать строго конфиденциальные данные, не разглашая фактическую информацию каждой из сторон. Многосторонние вычисления также могут выполняться в рамках одной организации, чтобы обеспечить разделение обязанностей.
Ресурсы
- Руководство пользователя для AWS Nitro Enclaves
- Начало работы с Nitro Enclaves
- ACM for Nitro Enclaves
- Интерфейс командной строки AWS Nitro Enclaves
- API NSM для AWS Nitro Enclaves
- SDK для AWS Nitro Enclaves
- Блог: AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data
- Что нового в Nitro Enclaves
- Что нового в ACM for Nitro Enclaves
Истории клиентов
«ACINQ является одним из основных разработчиков и операторов Lightning Network, открытой высокопроизводительной платежной сети на основе биткойнов. Запустив платежные узлы в AWS Nitro Enclaves, мы смогли обеспечить высокий уровень защиты приватных ключей, управляющих нашими средствами, практически без изменений кода. Возможность запуска сложных, криптографически заверенных приложений внутри AWS Nitro Enclaves меняет ситуацию с точки зрения безопасности и позволяет нам применять дополнительные меры защиты, такие как использование аппаратных кошельков для администрирования наших систем. Используя AWS Nitro Enclaves, мы управляем одним из самых безопасных платежных узлов в сети и планируем перенести больше сервисов в AWS Nitro Enclaves, чтобы уменьшить площадь атак в нашей системе в целом».
Фабрис Друэн, соучредитель и технический директор ACINQ
«Компания Anjuna применила корпоративный подход к защите ценных активов с помощью AWS Nitro Enclaves. Теперь наши клиенты могут настраивать изолированные вычислительные среды и управлять ими в EC2 для обработки и укрепления облачных рабочих нагрузок за считанные минуты без необходимости переписывать код или проводить рефакторинг приложений. ПО Anjuna Confidential Computing на основе Nitro Enclaves сокращает площадь атаки для приложений по обработке конфиденциальных данных, персональных данных (PII), проприетарных алгоритмов , приложений для многосторонних вычислений (MPC), баз данных и управления ключами/конфиденциальными данными. AWS Nitro Enclaves позволяет программному обеспечению Anjuna лучше обслуживать клиентов в строго регулируемых отраслях, таких как финансовые услуги, финансовые технологии, криптовалюта, государственное управление, здравоохранение и SaaS».
Аял Йогев, генеральный директор и соучредитель Anjuna Security
«Компания Cape Privacy ориентирована на безопасность данных и конфиденциальность для искусственного интеллекта, использующего облако. Компании могут использовать Cape API, чтобы применять возможности больших языковых моделей в настраиваемой базе знаний, которая может содержать важные или конфиденциальные данные. Cape API разработан для обеспечения конфиденциальности данных клиентов без ущерба для ценности использования большой языковой модели. Клиенты, использующие модели Cape в Amazon EC2, могут быть уверены в подходе Cape Privacy к защите своих конфиденциальных данных, поскольку они используют AWS Nitro Enclaves поверх системы AWS Nitro с различными методами обработки данных с сохранением конфиденциальности, чтобы никто никогда не смог увидеть ваши данные».
Че Виджесингхе, генеральный директор Cape Privacy
«Высокодоступная и безопасная инфраструктура средства проверки крайне важна для устойчивых сетей криптовалют (таких как цепь Crypto.org). В частности, необходимо обеспечить и укрепить один из ключевых аспектов – подписание сообщений протокола согласия. Благодаря AWS Nitro Enclaves и AWS KMS в рамках нашей облачной инфраструктуры проще масштабировать, развертывать и управлять процессом подписания как для Crypto.com, так и для внешних партнеров. AWS Nitro Enclaves обеспечивает экономически выгодное усиление и изоляцию для безопасного управления ключами».
Томас Таубер, глава цепи Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png "Crypto.com")
«Как менеджер паролей, Dashlane отвечает за защиту наиболее конфиденциальных данных организаций. Используя AWS Nitro Enclaves, наши клиенты могут вдвое сократить время настройки интеграции, обеспечивая при этом высочайший уровень безопасности. AWS Nitro Enclaves предлагает инновационный способ полной изоляции ключей шифрования, позволяя организациям быть уверенными в том, что их данные конфиденциальны и защищены и что никакие посторонние лица, включая Dashlane, не смогут увидеть ключи или получить к ним доступ».
Фредерик Ривейн, технический директор, Dashlane
«Защита и обработка крайне конфиденциальной информации, например финансовых, медицинских, идентификационных и личных данных, – это один из основных примеров использования инфраструктуры шифрования Evervault. В основе Evervault лежит механизм шифрования Evervault Encryption Engine (E3), который выполняет все криптографические операции и обрабатывает ключи шифрования клиентов. E3 построен на базе AWS Nitro Enclaves, благодаря чему обеспечена изолированная, защищенная и обособленная вычислительная среда для обработки конфиденциальных данных. За счет создания E3 на Nitro Enclaves мы можем предложить как безопасность криптографической сертификации, так и надежную основу остальных продуктов и услуг Evervault. Nitro Enclaves позволяет без каких-либо дополнительных затрат предоставить клиентам высокозащищенный, экономичный и масштабируемый сервис, способный обрабатывать тысячи криптографических операций в секунду».
Шейн Карран, основатель и генеральный директор Evervault
«Миссия Footprint – вернуть надежность в Интернет, и наша первоочередная задача – убедиться, что мы используем самую сложную и надежную архитектуру хранилищ для хранения, шифрования и обработки конфиденциальных финансовых и персональных данных наших клиентов и их пользователей. Для этого мы спроектировали и построили основную инфраструктуру хранилища Footprint на базе AWS Nitro Enclaves, поскольку она обеспечивает безопасность мирового класса: возможность запускать криптографически подписанный и заверенный код в изолированной от процессора, памяти и сети среде, что значительно снижает поверхность атаки и обеспечивает нашим клиентам основу безопасности, которая намного превосходит обычные подходы, используемые предприятиями сегодня».
Алекс Гринман, соучредитель и технический директор Footprint
«Fortanix, первая организация в области конфиденциальных вычислений, которая обеспечивает многостороннюю совместную работу над данными, выполняет машинное обучение на уровне федерации и демонстрирует примеры конфиденциального поиска данных на практике. Клиенты Fortanix могут использовать сервис управления конфиденциальными вычислениями для переноса в облако конфиденциальных приложений и запуска их в различных средах AWS Nitro Enclaves, включенных в инстансы эластичного облака вычислений Amazon (Amazon EC2), в целях защиты конфиденциальных данных во время использования. Организация Fortanix помогает клиентам из различных отраслей, включая здравоохранение, финансовые технологии, финансовые услуги и производство, ускорить миграцию на AWS за счет повышения уровня безопасности и защиты данных на протяжении всего жизненного цикла данных: в местах хранения, во время перемещения и при использовании».
Ананд Кашьяп, главный исполнительный директор Fortanix
«Itaú Digital Assets – это бизнес-подразделение компании Itaú Unibanco, отвечающее за разработку решений с использованием технологии блокчейн. В этом контексте сервис Nitro Enclaves помог нам создать безопасную среду для манипулирования криптографическими ключами наших служб хранения криптоактивов, добавив еще один уровень защиты для обработки данных и в то же время уменьшив поверхность атак. Такой высокий уровень защиты стал ключевым фактором, позволившим реализовать комплексные решения, связанные с высочайшим уровнем безопасности, что является одной из основ нашего учреждения.»
Карлос Эдуардо Маццеи, технический директор Itaú Unibanco
«Компания M10 Networks, Inc разрабатывает и развертывает на AWS свою платформу M10 Ledger – сервис для разработки и распространения цифровых валют центральных банков и токенизированных регулируемых обязательств. Платформа Ledger использует AWS Nitro Enclaves для выполнения проверки подписи и криптографического повторного подписания партий транзакций. Используя AWS Nitro Enclaves на новейших инстансах AWS M6i, M10 может предоставить производительное и экономически эффективное решение для рынка цифровых валют».
Саша Уайз, инженер-основатель M10
«Компания Okta Identity as a Service (IDaaS) помогает любому человеку подключиться к любому приложению на любом устройстве. Компания предоставляет клиентам услуги управления идентификацией корпоративного уровня в облаке или с использованием локальных приложений. Решение Okta по управлению привилегированным доступом (PAM) помогает организациям регулировать риски, привнося критические возможности PAM в основное решение по контролю идентификации и доступа, включая управление привилегированным доступом, хранение учетных данных и отчетность о соответствии требованиям. Вышеупомянутая компания использует сервис Nitro Enclaves для безопасного управления учетными данными инфраструктуры клиентов и их хранения в соответствующем решении Okta PAM. С помощью Nitro Enclaves решение PAM от Okta управляет учетными данными клиентов в проверенной и криптографически подтвержденной среде. Используя AWS Nitro Enclaves, Okta защищает клиентов от атак в рамках нашей архитектуры с углубленной защитой. Компания надеется расширить возможности Okta Privileged Access в дополнение к Nitro Enclaves, продолжая создавать безопасную основу для защиты доступа к экосистеме клиентов».
Смита Прасад, технический директор компании Okta