AWS Nitro Enclaves

สร้างการแยกเพิ่มเติมเพื่อการปกป้องข้อมูลที่มีความสำคัญสูงภายใน EC2 instance ให้ปลอดภัยยิ่งขึ้น

AWS Nitro Enclaves ทำให้ลูกค้าสามารถสร้างสภาพแวดล้อมการประมวลผลที่แยกออกมาเพื่อปกป้องและประมวลผลข้อมูลที่มีความสำคัญสูงให้ปลอดภัยได้ดียิ่งขึ้น เช่น ข้อมูลที่สามารถระบุตัวบุคคลได้ (PII), ข้อมูลการดูแลสุขภาพ, ข้อมูลการเงิน และข้อมูลทรัพย์สินทางปัญญาใน Amazon EC2 instance Nitro Enclaves ใช้เทคโนโลยีไฮเปอร์ไวเซอร์ Nitro แบบเดียวกับที่ใช้กับ CPU และหน่วยความจำที่แยกออกจากกันสำหรับ EC2 instance

Nitro Enclaves ช่วยลดช่องโหว่ที่อาจถูกโจมตีได้ของคุณในแอปพลิเคชันที่ประมวลผลข้อมูลที่สำคัญมาก Enclaves มอบสภาพแวดล้อมที่แยกเดี่ยว ทนทาน และถูกควบคุมอย่างเข้มงวดเพื่อโฮสต์แอปพลิเคชันที่ต้องการความปลอดภัยอย่างสูง Nitro Enclaves มีการรับรองการเข้ารหัสลับสำหรับซอฟต์แวร์ของคุณ ดังนั้นคุณจึงมั่นใจได้ว่ามีแค่โค้ดที่ได้รับอนุญาตเท่านั้นที่ทำงานอยู่ และยังมีการผสานเข้ากับ AWS Key Management Service เพื่อให้มีเฉพาะ Enclaves ของคุณเท่านั้นที่สามารถเข้าถึงข้อมูลที่สำคัญ

ไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับการใช้งาน AWS Nitro Enclaves นอกเหนือจากการใช้ Amazon EC2 instances และบริการอื่นๆ ของ AWS ซึ่งใช้กับ Nitro Enclaves

ขอแนะนำ Nitro Enclaves
ภาพรวม AWS Nitro Enclaves

ประโยชน์

การแยกและการรักษาความปลอดภัยเพิ่มเติม

Enclaves คือเครื่องเสมือนที่แยกตัวอย่างเต็มรูปแบบ มีประสิทธิภาพ และถูกควบคุมอย่างเข้มงวด ซึ่งไม่มีพื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอก การสื่อสารระหว่าง Instance และ Enclave ของคุณจึงเกิดขึ้นโดยใช้ช่องทางในพื้นที่ที่ปลอดภัย แม้แต่ผู้ใช้หลักหรือผู้ดูแลระบบก็ไม่สามารถเข้าถึงหรือ SSH เข้าสู่ Enclave ได้

Nitro Enclaves ใช้ไฮเปอร์ไวเซอร์ Nitro Hypervisor ที่ได้รับการพิสูจน์เพื่อแยก CPU และหน่วยความจำของ Enclave ออกจากผู้ใช้ แอปพลิเคชัน และไลบรารีบนอินสแตนซ์หลักมากขึ้น คุณสมบัติที่ช่วยแยก Enclave และซอฟต์แวร์ของคุณออกจากกัน และช่วยลดช่องโหว่ที่อาจถูกโจมตีของคุณ

การรับรองการเข้ารหัสลับ

การับรองช่วยให้คุณตรวจสอบข้อมูลประจำตัวของ Enclave และตรวจสอบว่ามีเฉพาะโค้ดที่ได้รับอนุญาตที่ทำงานใน ​Enclave ของคุณเท่านั้น กระบวนการรับรองจะดำเนินการผ่านไฮเปอร์ไวเซอร์ Nitro ซึ่งจะสร้างเอกสารการรับรองที่มีการลงชื่อสำหรับ Enclave เพื่อรับรองข้อมูลประจำตัวต่อบริษัทหรือบริการอื่น เอกสารการรับรองประกอบด้วยรายละเอียดสำคัญของ Enclave เช่น คีย์สาธารณะของ Enclave, แฮชของอิมเมจและแอปพลิเคชัน Enclave และอื่นๆ Nitro Enclaves จะมีการผสานกับ AWS KMS ที่ซึ่ง KMS สามารถอ่านและตรวจสอบเอกสารการรับรองเหล่านี้ซึ่งส่งมาจาก Enclave

ยืดหยุ่น

Nitro Enclaves มีความยืดหยุ่น คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ การดำเนินการดังกล่าวจะช่วยให้คุณมั่นใจได้ว่าคุณมีทรัพยากรเพียงพอในการใช้งานหน่วยความจำเดียวกัน หรือประมวลผลเชิงลึกของแอปพลิเคชันที่คุณได้ใช้งานบน EC2 instance ที่มีอยู่แล้ว Nitro Enclaves ทำงานได้ไม่จำกัดโปรเซสเซอร์และสามารถใช้ได้ในอินสแตนซ์ที่ขับเคลื่อนโดย CPU ของผู้ให้บริการที่ต่างกัน โดยยังสามารถทำงานร่วมกับภาษาในการเขียนโปรแกรมหรือเฟรมเวิร์กใดก็ได้ นอกจากนั้น เนื่องจากองค์ประกอบหลายส่วนของ Nitro Enclaves เป็นแบบโอเพ่นซอร์ส ลูกค้าจึงสามารถตรวจสอบโค้ดและยืนยันความถูกต้องได้ด้วยตนเเอง

วิธีการทำงาน

วิธีการทำงานของ Nitro Enclaves

แผนภาพที่ 1: วิธีการทำงานของ Nitro Enclaves ตามลำดับขั้นตอน

product-page-diargam_Nitro-Enclaves_Enclaves@2x

แผนภาพที่ 2: Nitro Enclave ใช้เทคโนโลยีไฮเปอร์ไวเซอร์ Nitro เดียวกับที่ใช้สร้างการแยกของ CPU และหน่วยความจำในอินสแตนซ์ EC2 เพื่อสร้างการแยกระหว่าง Enclave และ EC2 instance

product-page-diargam_Nitro-Enclaves_Equations@2x

แผนภาพที่ 3: Enclave ถูกสร้างขึ้นโดยการแบ่งส่วน CPU และหน่วยความจำของ EC2 instance ที่เรียกว่าอินสแตนซ์หลัก คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ ด้านบนคือตัวอย่างของการใช้ m5.4xlarge แยกเป็นอินสแตนซ์หลัก (14 vCPU, หน่วยความจำ 32 GiB) และ Enclave (2 vCPU หน่วยความจำ 32 GiB) การสื่อสารระหว่างอินสแตนซ์หลักและ Enclave ดำเนินขึ้นโดยการเชื่อมต่อภายในที่มีความปลอดภัยซึ่งเรียกว่า vsock

กรณีการใช้งาน

การรักษาความปลอดภัยให้กับคีย์ความปลอดภัย

ลูกค้าสามารถแยกและใช้คีย์ส่วนตัว (เช่น SSL/TLS) ใน Enclave พร้อมกับการป้องกันผู้ใช้ แอปพลิเคชัน และไลบรารี่บนอินสแตนซ์หลักจากการดูคีย์เหล่านั้น โดยปกติแล้ว คีย์ส่วนตัวเหล่านี้จะถูกจัดเก็บไว้บน EC2 instance ในรูปแบบตัวอักษรทั่วไป

AWS Certificate Manager (ACM) สำหรับ Nitro Enclaves เป็นแอปพลิเคชัน Enclave ซึ่งอนุญาตให้คุณใช้ใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวกับเว็บแอปพลิเคชันและเซิร์ฟเวอร์ที่ทำงานอยู่บน Amazon EC2 instances ด้วย AWS Nitro Enclave

การสร้างโทเค็น

การสร้างโทเค็นคือกระบวนการซึ่งแปลงข้อมูลที่มีความสำคัญสูงเช่นหมายเลขบัตรเครดิตหรือข้อมูลการดูแลสุขภาพให้เป็นโทเค็น ด้วย Nitro Enclaves ลูกค้าสามารถเรียกใช้แอปพลิเคชันซึ่งดำเนินการแปลงเช่นนี้ภายใน Enclave สามารถส่งข้อมูลที่มีการเข้ารหัสไปยัง Enclave ซึ่งจะมีการถอดรหัสแล้วจึงประมวลผล EC2 instance หลักจะไม่สามารถดูหรือเข้าถึงข้อมูลสำคัญได้ตลอดขั้นตอนนี้

การประมวลผลหลายฝ่าย

ด้วยการใช้ความสามารถในการรับรองการเข้ารหัสลับของ Nitro Enclaves ลูกค้าสามารถตั้งค่าการประมวลผลหลายฝ่าย ซึ่งจะมีหลายฝ่ายที่สามารถเข้าร่วมและประมวลผลข้อมูลที่มีความสำคัญสูงโดยไม่ต้องมีการเปิดเผยหรือแชร์ข้อมูลจริงให้กับแต่ละฝ่าย การประมวลผลหลายฝ่ายยังสามารถดำเนินการได้ภายในองค์กรเดียวกันเพื่อเริ่มการแบ่งหน้าที่

เรื่องราวของลูกค้า

Crypto.com
“โครงสร้างพื้นฐานตัวตรวจสอบที่พร้อมใช้งานทุกเมื่อและปลอดภัยคือส่วนสำคัญอย่างยิ่งสำหรับเครือข่ายสกุลเงินดิจิทัลที่ยั่งยืน (เช่น Crypto.org Chain) โดยเฉพาะอย่างยิ่งการลงนามในข้อความโปรโตคอลฉันทามติที่ต้องปลอดภัยและแน่นหนา AWS Nitro Enclaves และ AWS KMS ในโครงสร้างพื้นฐานระบบคลาวด์ของเราช่วยให้ Crypto.com และพันธมิตรภายนอกของเราสามารถปรับขนาด ติดตั้งใช้จริง และจัดการกระบวนการลงนามเหล่านี้ได้อย่างง่ายดาย AWS Nitro Enclaves ช่วยรักษาความปลอดภัยและคัดแยกได้อย่างคุ้มค่าสำหรับการจัดการคีย์ความปลอดภัย”

Tomas Tauber, Chain Lead, Crypto.com

Evervault
"การปกป้องและการประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง เช่น ข้อมูลทางการเงิน ข้อมูลสุขภาพ ข้อมูลประจำตัว และข้อมูลที่เป็นกรรมสิทธิ์ ถือเป็นหนึ่งในกรณีใช้งานหลักสำหรับโครงสร้างพื้นฐานการเข้ารหัสของ Evervault หัวใจสำคัญของ Evervault คือ Evervault Encryption Engine (E3) ซึ่งจะดำเนินการเข้ารหัสทั้งหมดและจัดการคีย์การเข้ารหัสสำหรับลูกค้าของเรา E3 นั้นสร้างขึ้นด้วย AWS Nitro Enclaves ซึ่งช่วยให้มีสภาพแวดล้อมการประมวลผลแบบแยกต่างหาก แข็งแกร่ง และมีข้อจำกัดสูงสำหรับการประมวลผลข้อมูลละเอียดอ่อน การสร้าง E3 บน Nitro Enclaves ช่วยให้เราสามารถรักษาความปลอดภัยผ่านการรับรองการเข้ารหัสได้ และยังเป็นรากฐานที่แข็งแกร่งสำหรับผลิตภัณฑ์และบริการอื่นๆ ทั้งหมดของ Evervault อีกด้วย Nitro Enclaves ช่วยให้เราสามารถมอบบริการที่ปลอดภัยอย่างมาก คุ้มค่า และปรับขนาดได้ให้แก่ลูกค้าโดยเป็นบริการที่สามารถจัดการการเข้ารหัสหลายพันครั้งต่อวินาทีได้และไม่มีค่าใช้จ่ายเพิ่มเติมใดๆ”

Shane Curran, ผู้ก่อตั้งและ CEO, Evervault