AWS Nitro Enclaves
AWS Nitro Enclaves ทำให้ลูกค้าสามารถสร้างสภาพแวดล้อมการประมวลผลที่แยกออกมาเพื่อปกป้องและประมวลผลข้อมูลที่มีความสำคัญสูงให้ปลอดภัยได้ดียิ่งขึ้น เช่น ข้อมูลที่สามารถระบุตัวบุคคลได้ (PII), ข้อมูลการดูแลสุขภาพ, ข้อมูลการเงิน และข้อมูลทรัพย์สินทางปัญญาใน Amazon EC2 instance Nitro Enclaves ใช้เทคโนโลยีไฮเปอร์ไวเซอร์ Nitro แบบเดียวกับที่ใช้กับ CPU และหน่วยความจำที่แยกออกจากกันสำหรับ EC2 instance
Nitro Enclaves ช่วยลดช่องโหว่ที่อาจถูกโจมตีได้ของคุณในแอปพลิเคชันที่ประมวลผลข้อมูลที่สำคัญมาก Enclaves มอบสภาพแวดล้อมที่แยกเดี่ยว ทนทาน และถูกควบคุมอย่างเข้มงวดเพื่อโฮสต์แอปพลิเคชันที่ต้องการความปลอดภัยอย่างสูง Nitro Enclaves มีการรับรองการเข้ารหัสลับสำหรับซอฟต์แวร์ของคุณ ดังนั้นคุณจึงมั่นใจได้ว่ามีแค่โค้ดที่ได้รับอนุญาตเท่านั้นที่ทำงานอยู่ และยังมีการผสานเข้ากับ AWS Key Management Service เพื่อให้มีเฉพาะ Enclaves ของคุณเท่านั้นที่สามารถเข้าถึงข้อมูลที่สำคัญ
ไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับการใช้งาน AWS Nitro Enclaves นอกเหนือจากการใช้ Amazon EC2 instances และบริการอื่นๆ ของ AWS ซึ่งใช้กับ Nitro Enclaves
ประโยชน์
การแยกและการรักษาความปลอดภัยเพิ่มเติม
Enclaves คือเครื่องเสมือนที่แยกตัวอย่างเต็มรูปแบบ มีประสิทธิภาพ และถูกควบคุมอย่างเข้มงวด ซึ่งไม่มีพื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอก การสื่อสารระหว่าง Instance และ Enclave ของคุณจึงเกิดขึ้นโดยใช้ช่องทางในพื้นที่ที่ปลอดภัย แม้แต่ผู้ใช้หลักหรือผู้ดูแลระบบก็ไม่สามารถเข้าถึงหรือ SSH เข้าสู่ Enclave ได้
Nitro Enclaves ใช้ไฮเปอร์ไวเซอร์ Nitro Hypervisor ที่ได้รับการพิสูจน์เพื่อแยก CPU และหน่วยความจำของ Enclave ออกจากผู้ใช้ แอปพลิเคชัน และไลบรารีบนอินสแตนซ์หลักมากขึ้น คุณสมบัติที่ช่วยแยก Enclave และซอฟต์แวร์ของคุณออกจากกัน และช่วยลดช่องโหว่ที่อาจถูกโจมตีของคุณ
การรับรองการเข้ารหัสลับ
การับรองช่วยให้คุณตรวจสอบข้อมูลประจำตัวของ Enclave และตรวจสอบว่ามีเฉพาะโค้ดที่ได้รับอนุญาตที่ทำงานใน Enclave ของคุณเท่านั้น กระบวนการรับรองจะดำเนินการผ่านไฮเปอร์ไวเซอร์ Nitro ซึ่งจะสร้างเอกสารการรับรองที่มีการลงชื่อสำหรับ Enclave เพื่อรับรองข้อมูลประจำตัวต่อบริษัทหรือบริการอื่น เอกสารการรับรองประกอบด้วยรายละเอียดสำคัญของ Enclave เช่น คีย์สาธารณะของ Enclave, แฮชของอิมเมจและแอปพลิเคชัน Enclave และอื่นๆ Nitro Enclaves จะมีการผสานกับ AWS KMS ที่ซึ่ง KMS สามารถอ่านและตรวจสอบเอกสารการรับรองเหล่านี้ซึ่งส่งมาจาก Enclave
ยืดหยุ่น
Nitro Enclaves มีความยืดหยุ่น คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ การดำเนินการดังกล่าวจะช่วยให้คุณมั่นใจได้ว่าคุณมีทรัพยากรเพียงพอในการใช้งานหน่วยความจำเดียวกัน หรือประมวลผลเชิงลึกของแอปพลิเคชันที่คุณได้ใช้งานบน EC2 instance ที่มีอยู่แล้ว Nitro Enclaves ทำงานได้ไม่จำกัดโปรเซสเซอร์และสามารถใช้ได้ในอินสแตนซ์ที่ขับเคลื่อนโดย CPU ของผู้ให้บริการที่ต่างกัน โดยยังสามารถทำงานร่วมกับภาษาในการเขียนโปรแกรมหรือเฟรมเวิร์กใดก็ได้ นอกจากนั้น เนื่องจากองค์ประกอบหลายส่วนของ Nitro Enclaves เป็นแบบโอเพ่นซอร์ส ลูกค้าจึงสามารถตรวจสอบโค้ดและยืนยันความถูกต้องได้ด้วยตนเเอง
วิธีการทำงาน

แผนภาพที่ 1: วิธีการทำงานของ Nitro Enclaves ตามลำดับขั้นตอน

แผนภาพที่ 2: Nitro Enclave ใช้เทคโนโลยีไฮเปอร์ไวเซอร์ Nitro เดียวกับที่ใช้สร้างการแยกของ CPU และหน่วยความจำในอินสแตนซ์ EC2 เพื่อสร้างการแยกระหว่าง Enclave และ EC2 instance

แผนภาพที่ 3: Enclave ถูกสร้างขึ้นโดยการแบ่งส่วน CPU และหน่วยความจำของ EC2 instance ที่เรียกว่าอินสแตนซ์หลัก คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ ด้านบนคือตัวอย่างของการใช้ m5.4xlarge แยกเป็นอินสแตนซ์หลัก (14 vCPU, หน่วยความจำ 32 GiB) และ Enclave (2 vCPU หน่วยความจำ 32 GiB) การสื่อสารระหว่างอินสแตนซ์หลักและ Enclave ดำเนินขึ้นโดยการเชื่อมต่อภายในที่มีความปลอดภัยซึ่งเรียกว่า vsock
กรณีการใช้งาน
การรักษาความปลอดภัยให้กับคีย์ความปลอดภัย
ลูกค้าสามารถแยกและใช้คีย์ส่วนตัว (เช่น SSL/TLS) ใน Enclave พร้อมกับการป้องกันผู้ใช้ แอปพลิเคชัน และไลบรารี่บนอินสแตนซ์หลักจากการดูคีย์เหล่านั้น โดยปกติแล้ว คีย์ส่วนตัวเหล่านี้จะถูกจัดเก็บไว้บน EC2 instance ในรูปแบบตัวอักษรทั่วไป
AWS Certificate Manager (ACM) สำหรับ Nitro Enclaves เป็นแอปพลิเคชัน Enclave ซึ่งอนุญาตให้คุณใช้ใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวกับเว็บแอปพลิเคชันและเซิร์ฟเวอร์ที่ทำงานอยู่บน Amazon EC2 instances ด้วย AWS Nitro Enclave
การสร้างโทเค็น
การสร้างโทเค็นคือกระบวนการซึ่งแปลงข้อมูลที่มีความสำคัญสูงเช่นหมายเลขบัตรเครดิตหรือข้อมูลการดูแลสุขภาพให้เป็นโทเค็น ด้วย Nitro Enclaves ลูกค้าสามารถเรียกใช้แอปพลิเคชันซึ่งดำเนินการแปลงเช่นนี้ภายใน Enclave สามารถส่งข้อมูลที่มีการเข้ารหัสไปยัง Enclave ซึ่งจะมีการถอดรหัสแล้วจึงประมวลผล EC2 instance หลักจะไม่สามารถดูหรือเข้าถึงข้อมูลสำคัญได้ตลอดขั้นตอนนี้
การประมวลผลหลายฝ่าย
ด้วยการใช้ความสามารถในการรับรองการเข้ารหัสลับของ Nitro Enclaves ลูกค้าสามารถตั้งค่าการประมวลผลหลายฝ่าย ซึ่งจะมีหลายฝ่ายที่สามารถเข้าร่วมและประมวลผลข้อมูลที่มีความสำคัญสูงโดยไม่ต้องมีการเปิดเผยหรือแชร์ข้อมูลจริงให้กับแต่ละฝ่าย การประมวลผลหลายฝ่ายยังสามารถดำเนินการได้ภายในองค์กรเดียวกันเพื่อเริ่มการแบ่งหน้าที่
ทรัพยากร
- คู่มือผู้ใช้ AWS Nitro Enclaves
- เริ่มต้นใช้งาน Nitro Enclaves
- ACM สำหรับ Nitro Enclaves
- AWS Nitro Enclaves CLI
- AWS Nitro Enclaves NSM API
- AWS Nitro Enclaves SDK
- บล็อก: AWS Nitro Enclaves – สภาพแวดล้อม EC2 แบบแยกตัวเพื่อการประมวลผลข้อมูลที่เป็นความลับ
- มีอะไรใหม่: Nitro Enclaves
- มีอะไรใหม่: ACM สำหรับ Nitro Enclaves
เรื่องราวของลูกค้า

"ACINQ คือหนึ่งในผู้พัฒนาและผู้ให้บริการหลักของ Lightning Network ซึ่งเป็นเครือข่ายการชำระเงินแบบเปิดที่มีประสิทธิภาพสูงโดยใช้ Bitcoin จากการเรียกใช้โหนดการชำระเงินของเราภายใน AWS Nitro Enclaves ทำให้เราสามารถได้รับการปกป้องระดับสูงที่เราต้องการสำหรับคีย์ส่วนตัวที่ควบคุมเงินของเราโดยแทบจะไม่ต้องแก้ไขโค้ดใดๆ เลย ความสามารถในการเรียกใช้แอปพลิเคชันที่เข้ารหัสที่ซับซ้อนภายใน AWS Nitro Enclaves จะเป็นตัวพลิกเกมในด้านความปลอดภัย และช่วยให้เราสามารถใช้มาตรการรักษาความปลอดภัยเพิ่มเติมได้ เช่น การใช้กระเป๋าเงินฮาร์ดแวร์เพื่อจัดการระบบของเรา เราจะดำเนินการหนึ่งในโหนดการชำระเงินที่ปลอดภัยที่สุดบนเครือข่ายโดยใช้ AWS Nitro Enclaves และวางแผนที่จะย้ายบริการเพิ่มเติมไปยัง AWS Nitro Enclaves มากขึ้นในอนาคตเพื่อลดจุดที่เสี่ยงต่อการถูกโจมตีของระบบโดยรวมของเรา"
Fabrice Drouin ผู้ร่วมก่อตั้งและ CTO จาก ACINQ

“Anjuna ได้คิดค้นวิธีที่พร้อมใช้งานสำหรับองค์กรในการปกป้องสินทรัพย์มูลค่าสูงโดยใช้ประโยชน์จาก AWS Nitro Enclaves ตอนนี้ลูกค้าของเราจึงสามารถตั้งค่าและจัดการสภาพแวดล้อมในการประมวลผลที่แยกเป็นอิสระใน EC2 เพื่อประมวลผลและเสริมความแข็งแกร่งให้กับเวิร์กโหลดบนคลาวด์ภายในไม่กี่นาทีโดยไม่ต้องแก้ไขโค้ดหรือปรับโครงสร้างของโค้ดใหม่ในแอปพลิเคชัน ซอฟต์แวร์ Anjuna Confidential Computing ที่สร้างขึ้นบนระบบ Nitro Enclaves จะลดจุดที่เสี่ยงต่อการถูกโจมตีสำหรับแอปพลิเคชันการประมวลผลข้อมูลที่เป็นความลับและละเอียดอ่อน ได้แก่ ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII), อัลกอริทึมที่เป็นกรรมสิทธิ์, แอปพลิเคชันการคำนวณแบบหลายฝ่าย (MPC), ฐานข้อมูล และการจัดการคีย์/ข้อมูลลับ AWS Nitro Enclaves ช่วยให้ซอฟต์แวร์ของ Anjuna สามารถให้บริการลูกค้าได้ดียิ่งขึ้นในอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด เช่น บริการทางการเงิน เทคโนโลยีทางการเงิน สกุลเงินดิจิทัล ภาครัฐ การดูแลสุขภาพ และผู้ให้บริการ SaaS”
Ayal Yogev ประธานเจ้าหน้าที่บริหารและผู้ร่วมก่อตั้งของ Anjuna Security

“โครงสร้างพื้นฐานตัวตรวจสอบที่พร้อมใช้งานทุกเมื่อและปลอดภัยคือส่วนสำคัญอย่างยิ่งสำหรับเครือข่ายสกุลเงินดิจิทัลที่ยั่งยืน (เช่น Crypto.org Chain) โดยเฉพาะอย่างยิ่งการลงนามในข้อความโปรโตคอลฉันทามติที่ต้องปลอดภัยและแน่นหนา AWS Nitro Enclaves และ AWS KMS ในโครงสร้างพื้นฐานระบบคลาวด์ของเราช่วยให้ Crypto.com และพันธมิตรภายนอกของเราสามารถปรับขนาด ติดตั้งใช้จริง และจัดการกระบวนการลงนามเหล่านี้ได้อย่างง่ายดาย AWS Nitro Enclaves ช่วยรักษาความปลอดภัยและคัดแยกได้อย่างคุ้มค่าสำหรับการจัดการคีย์ความปลอดภัย”
Tomas Tauber, Chain Lead, Crypto.com

"การปกป้องและการประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง เช่น ข้อมูลทางการเงิน ข้อมูลสุขภาพ ข้อมูลประจำตัว และข้อมูลที่เป็นกรรมสิทธิ์ ถือเป็นหนึ่งในกรณีใช้งานหลักสำหรับโครงสร้างพื้นฐานการเข้ารหัสของ Evervault หัวใจสำคัญของ Evervault คือ Evervault Encryption Engine (E3) ซึ่งจะดำเนินการเข้ารหัสทั้งหมดและจัดการคีย์การเข้ารหัสสำหรับลูกค้าของเรา E3 นั้นสร้างขึ้นด้วย AWS Nitro Enclaves ซึ่งช่วยให้มีสภาพแวดล้อมการประมวลผลแบบแยกต่างหาก แข็งแกร่ง และมีข้อจำกัดสูงสำหรับการประมวลผลข้อมูลละเอียดอ่อน การสร้าง E3 บน Nitro Enclaves ช่วยให้เราสามารถรักษาความปลอดภัยผ่านการรับรองการเข้ารหัสได้ และยังเป็นรากฐานที่แข็งแกร่งสำหรับผลิตภัณฑ์และบริการอื่นๆ ทั้งหมดของ Evervault อีกด้วย Nitro Enclaves ช่วยให้เราสามารถมอบบริการที่ปลอดภัยอย่างมาก คุ้มค่า และปรับขนาดได้ให้แก่ลูกค้าโดยเป็นบริการที่สามารถจัดการการเข้ารหัสหลายพันครั้งต่อวินาทีได้และไม่มีค่าใช้จ่ายเพิ่มเติมใดๆ”
Shane Curran, ผู้ก่อตั้งและ CEO จาก Evervault

"พันธกิจของ Footprint คือการนำความไว้วางใจกลับมาสู่อินเทอร์เน็ตอีกครั้ง และสิ่งสำคัญอันดับแรกของเราคือการทำให้แน่ใจว่าเราได้ใช้สถาปัตยกรรมการล็อกคลังนิรภัยที่ซับซ้อนและแข็งแกร่งที่สุดในการจัดเก็บข้อมูล เข้ารหัส และประมวลผลข้อมูลทางการเงินและส่วนบุคคลที่ละเอียดอ่อนสำหรับลูกค้าและผู้ใช้ของพวกเขา เพื่อให้สามารถบรรลุเป้าหมายนี้ เราจึงได้ออกแบบและสร้างโครงสร้างพื้นฐาน Core การล็อกคลังนิรภัยของ Footprint นอกเหนือจาก AWS Nitro Enclaves เนื่องจากเป็นรักษาความปลอดภัยระดับโลก ซึ่งมีความสามารถในการเรียกใช้การเข้ารหัสและยืนยันรหัสใน CPU หน่วยความจำ และสภาพแวดล้อมแบบแยกเครือข่ายเพื่อลดจุดที่เสี่ยงต่อการถูกโจมตีลงอย่างมาก และมอบรากฐานการรักษาความปลอดภัยแก่ลูกค้าของเราซึ่งเหนือชั้นกว่าวิธีการปกติที่ธุรกิจต่างๆ ใช้กันในปัจจุบัน”
Alex Grinman, ผู้ร่วมก่อตั้งและ CTO ของ Footprint

"M10 Networks, Inc พัฒนาและปรับใช้แพลตฟอร์ม M10 Ledger ซึ่งเป็นบริการสำหรับการพัฒนาและแจกจ่ายสกุลเงินดิจิทัลของธนาคารกลางและหนี้สินที่มีการควบคุมด้วยโทเค็นบน AWS แพลตฟอร์มบัญชีแยกประเภทใช้ AWS Nitro Enclaves เพื่อดำเนินการตรวจสอบลายเซ็นและการลงนามด้วยการเข้ารหัสของกลุ่มธุรกรรม การใช้ AWS Nitro Enclaves บนอินสแตนซ์ M6i ล่าสุดของ AWS ทำให้ M10 สามารถส่งมอบโซลูชันที่มีประสิทธิภาพและคุ้มค่าสำหรับตลาดสกุลเงินดิจิทัล”
Sascha Wise วิศวกรผู้ก่อตั้ง M10