AWS Nitro Enclaves

สร้างการแยกเพิ่มเติมเพื่อการปกป้องข้อมูลที่มีความสำคัญสูงภายใน EC2 instance ให้ปลอดภัยยิ่งขึ้น

เหตุใดจึงต้องใช้ AWS Nitro Enclaves

AWS Nitro Enclaves ทำให้ลูกค้าสามารถสร้างสภาพแวดล้อมการประมวลผลที่แยกออกมาเพื่อปกป้องและประมวลผลข้อมูลที่มีความสำคัญสูงให้ปลอดภัยได้ดียิ่งขึ้น เช่น ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII), ข้อมูลการดูแลสุขภาพ, ข้อมูลการเงิน และข้อมูลทรัพย์สินทางปัญญาในอินสแตนซ์ Amazon EC2 Nitro Enclaves ใช้เทคโนโลยีไฮเปอร์ไวเซอร์ Nitro แบบเดียวกับที่ใช้กับ CPU และหน่วยความจำที่แยกออกจากกันสำหรับ EC2 instance

Nitro Enclaves ช่วยลดช่องโหว่ที่อาจถูกโจมตีได้ของคุณในแอปพลิเคชันที่ประมวลผลข้อมูลที่สำคัญมาก Enclaves มอบสภาพแวดล้อมที่แยกเดี่ยว ทนทาน และถูกควบคุมอย่างเข้มงวดเพื่อโฮสต์แอปพลิเคชันที่ต้องการความปลอดภัยอย่างสูง Nitro Enclaves มีการรับรองการเข้ารหัสลับสำหรับซอฟต์แวร์ของคุณ ดังนั้นคุณจึงมั่นใจได้ว่ามีแค่โค้ดที่ได้รับอนุญาตเท่านั้นที่ทำงานอยู่ และยังมีการผสานเข้ากับ AWS Key Management Service เพื่อให้มีเฉพาะ Enclaves ของคุณเท่านั้นที่สามารถเข้าถึงข้อมูลที่สำคัญ

ไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับการใช้งาน AWS Nitro Enclaves นอกเหนือจากการใช้ Amazon EC2 instances และบริการอื่นๆ ของ AWS ซึ่งใช้กับ Nitro Enclaves

ประโยชน์

Enclaves คือเครื่องเสมือนที่แยกตัวอย่างเต็มรูปแบบ มีประสิทธิภาพ และถูกควบคุมอย่างเข้มงวด ซึ่งไม่มีพื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอก การสื่อสารระหว่าง Instance และ Enclave ของคุณจึงเกิดขึ้นโดยใช้ช่องทางในพื้นที่ที่ปลอดภัย แม้แต่ผู้ใช้หลักหรือผู้ดูแลระบบก็ไม่สามารถเข้าถึงหรือ SSH เข้าสู่ Enclave ได้

Nitro Enclaves ใช้ไฮเปอร์ไวเซอร์ Nitro Hypervisor ที่ได้รับการพิสูจน์เพื่อแยก CPU และหน่วยความจำของ Enclave ออกจากผู้ใช้ แอปพลิเคชัน และไลบรารีบนอินสแตนซ์หลักมากขึ้น คุณสมบัติที่ช่วยแยก Enclave และซอฟต์แวร์ของคุณออกจากกัน และช่วยลดช่องโหว่ที่อาจถูกโจมตีของคุณ

การับรองช่วยให้คุณตรวจสอบข้อมูลประจำตัวของ Enclave และตรวจสอบว่ามีเฉพาะโค้ดที่ได้รับอนุญาตที่ทำงานใน Enclave ของคุณเท่านั้น กระบวนการรับรองจะดำเนินการผ่านไฮเปอร์ไวเซอร์ Nitro ซึ่งจะสร้างเอกสารการรับรองที่มีการลงชื่อสำหรับ Enclave เพื่อรับรองข้อมูลประจำตัวต่อบริษัทหรือบริการอื่น เอกสารการรับรองประกอบด้วยรายละเอียดสำคัญของ Enclave เช่น คีย์สาธารณะของ Enclave, แฮชของอิมเมจและแอปพลิเคชัน Enclave และอื่นๆ Nitro Enclaves จะมีการผสานกับ AWS KMS ที่ซึ่ง KMS สามารถอ่านและตรวจสอบเอกสารการรับรองเหล่านี้ซึ่งส่งมาจาก Enclave

Nitro Enclaves มีความยืดหยุ่น คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ การดำเนินการดังกล่าวจะช่วยให้คุณมั่นใจได้ว่าคุณมีทรัพยากรเพียงพอในการใช้งานหน่วยความจำเดียวกัน หรือประมวลผลเชิงลึกของแอปพลิเคชันที่คุณได้ใช้งานบน EC2 instance ที่มีอยู่แล้ว Nitro Enclaves ทำงานได้ไม่จำกัดโปรเซสเซอร์และสามารถใช้ได้ในอินสแตนซ์ที่ขับเคลื่อนโดย CPU ของผู้ให้บริการที่ต่างกัน โดยยังสามารถทำงานร่วมกับภาษาในการเขียนโปรแกรมหรือเฟรมเวิร์กใดก็ได้ นอกจากนั้น เนื่องจากองค์ประกอบหลายส่วนของ Nitro Enclaves เป็นแบบโอเพ่นซอร์ส ลูกค้าจึงสามารถตรวจสอบโค้ดและยืนยันความถูกต้องได้ด้วยตนเเอง

กรณีใช้งาน

ลูกค้าสามารถแยกและใช้คีย์ส่วนตัว (เช่น SSL/TLS) ใน Enclave พร้อมกับการป้องกันผู้ใช้ แอปพลิเคชัน และไลบรารี่บนอินสแตนซ์หลักจากการดูคีย์เหล่านั้น โดยปกติแล้ว คีย์ส่วนตัวเหล่านี้จะถูกจัดเก็บไว้บน EC2 instance ในรูปแบบตัวอักษรทั่วไป

AWS Certificate Manager (ACM) สำหรับ Nitro Enclaves เป็นแอปพลิเคชัน Enclave ซึ่งอนุญาตให้คุณใช้ใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวกับเว็บแอปพลิเคชันและเซิร์ฟเวอร์ที่ทำงานอยู่บนอินสแตนซ์ Amazon EC2 ด้วย AWS Nitro Enclaves

การสร้างโทเค็นคือกระบวนการซึ่งแปลงข้อมูลที่มีความสำคัญสูงเช่นหมายเลขบัตรเครดิตหรือข้อมูลการดูแลสุขภาพให้เป็นโทเค็น ด้วย Nitro Enclaves ลูกค้าสามารถเรียกใช้แอปพลิเคชันซึ่งดำเนินการแปลงเช่นนี้ภายใน Enclave สามารถส่งข้อมูลที่มีการเข้ารหัสไปยัง Enclave ซึ่งจะมีการถอดรหัสแล้วจึงประมวลผล EC2 instance หลักจะไม่สามารถดูหรือเข้าถึงข้อมูลสำคัญได้ตลอดขั้นตอนนี้

ด้วยการใช้ความสามารถในการรับรองการเข้ารหัสลับของ Nitro Enclaves ลูกค้าสามารถตั้งค่าการประมวลผลหลายฝ่าย ซึ่งจะมีหลายฝ่ายที่สามารถเข้าร่วมและประมวลผลข้อมูลที่มีความสำคัญสูงโดยไม่ต้องมีการเปิดเผยหรือแชร์ข้อมูลจริงให้กับแต่ละฝ่าย การประมวลผลหลายฝ่ายยังสามารถดำเนินการได้ภายในองค์กรเดียวกันเพื่อเริ่มการแบ่งหน้าที่

เรื่องราวความสำเร็จของลูกค้า