AWS Nitro Enclaves

Enclaves คือเครื่องเสมือนที่แยกตัวอย่างเต็มรูปแบบ มีประสิทธิภาพ และถูกควบคุมอย่างเข้มงวด ซึ่งไม่มีพื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอก การสื่อสารระหว่าง Instance และ Enclave ของคุณจึงเกิดขึ้นโดยใช้ช่องทางในพื้นที่ที่ปลอดภัย แม้แต่ผู้ใช้หลักหรือผู้ดูแลระบบก็ไม่สามารถเข้าถึงหรือ SSH เข้าสู่ Enclave ได้

Nitro Enclaves ใช้ไฮเปอร์ไวเซอร์ Nitro Hypervisor ที่ได้รับการพิสูจน์เพื่อแยก CPU และหน่วยความจำของ Enclave ออกจากผู้ใช้ แอปพลิเคชัน และไลบรารีบนอินสแตนซ์หลักมากขึ้น คุณสมบัติที่ช่วยแยก Enclave และซอฟต์แวร์ของคุณออกจากกัน และช่วยลดช่องโหว่ที่อาจถูกโจมตีของคุณ

การับรองช่วยให้คุณตรวจสอบข้อมูลประจำตัวของ Enclave และตรวจสอบว่ามีเฉพาะโค้ดที่ได้รับอนุญาตที่ทำงานใน Enclave ของคุณเท่านั้น กระบวนการรับรองจะดำเนินการผ่านไฮเปอร์ไวเซอร์ Nitro ซึ่งจะสร้างเอกสารการรับรองที่มีการลงชื่อสำหรับ Enclave เพื่อรับรองข้อมูลประจำตัวต่อบริษัทหรือบริการอื่น เอกสารการรับรองประกอบด้วยรายละเอียดสำคัญของ Enclave เช่น คีย์สาธารณะของ Enclave, แฮชของอิมเมจและแอปพลิเคชัน Enclave และอื่นๆ Nitro Enclaves จะมีการผสานกับ AWS KMS ที่ซึ่ง KMS สามารถอ่านและตรวจสอบเอกสารการรับรองเหล่านี้ซึ่งส่งมาจาก Enclave

Nitro Enclaves มีความยืดหยุ่น คุณสามารถสร้าง Enclave ด้วยแกนและหน่วยความจำ ของ CPU ที่แตกต่างกันได้ การดำเนินการดังกล่าวจะช่วยให้คุณมั่นใจได้ว่าคุณมีทรัพยากรเพียงพอในการใช้งานหน่วยความจำเดียวกัน หรือประมวลผลเชิงลึกของแอปพลิเคชันที่คุณได้ใช้งานบน EC2 instance ที่มีอยู่แล้ว Nitro Enclaves ทำงานได้ไม่จำกัดโปรเซสเซอร์และสามารถใช้ได้ในอินสแตนซ์ที่ขับเคลื่อนโดย CPU ของผู้ให้บริการที่ต่างกัน โดยยังสามารถทำงานร่วมกับภาษาในการเขียนโปรแกรมหรือเฟรมเวิร์กใดก็ได้ นอกจากนั้น เนื่องจากองค์ประกอบหลายส่วนของ Nitro Enclaves เป็นแบบโอเพ่นซอร์ส ลูกค้าจึงสามารถตรวจสอบโค้ดและยืนยันความถูกต้องได้ด้วยตนเเอง

ลูกค้าสามารถแยกและใช้คีย์ส่วนตัว (เช่น SSL/TLS) ใน Enclave พร้อมกับการป้องกันผู้ใช้ แอปพลิเคชัน และไลบรารี่บนอินสแตนซ์หลักจากการดูคีย์เหล่านั้น โดยปกติแล้ว คีย์ส่วนตัวเหล่านี้จะถูกจัดเก็บไว้บน EC2 instance ในรูปแบบตัวอักษรทั่วไป

AWS Certificate Manager (ACM) สำหรับ Nitro Enclaves เป็นแอปพลิเคชัน Enclave ซึ่งอนุญาตให้คุณใช้ใบรับรอง SSL/TLS แบบสาธารณะและแบบส่วนตัวกับเว็บแอปพลิเคชันและเซิร์ฟเวอร์ที่ทำงานอยู่บน Amazon EC2 instances ด้วย AWS Nitro Enclave

การสร้างโทเค็นคือกระบวนการซึ่งแปลงข้อมูลที่มีความสำคัญสูงเช่นหมายเลขบัตรเครดิตหรือข้อมูลการดูแลสุขภาพให้เป็นโทเค็น ด้วย Nitro Enclaves ลูกค้าสามารถเรียกใช้แอปพลิเคชันซึ่งดำเนินการแปลงเช่นนี้ภายใน Enclave สามารถส่งข้อมูลที่มีการเข้ารหัสไปยัง Enclave ซึ่งจะมีการถอดรหัสแล้วจึงประมวลผล EC2 instance หลักจะไม่สามารถดูหรือเข้าถึงข้อมูลสำคัญได้ตลอดขั้นตอนนี้

ด้วยการใช้ความสามารถในการรับรองการเข้ารหัสลับของ Nitro Enclaves ลูกค้าสามารถตั้งค่าการประมวลผลหลายฝ่าย ซึ่งจะมีหลายฝ่ายที่สามารถเข้าร่วมและประมวลผลข้อมูลที่มีความสำคัญสูงโดยไม่ต้องมีการเปิดเผยหรือแชร์ข้อมูลจริงให้กับแต่ละฝ่าย การประมวลผลหลายฝ่ายยังสามารถดำเนินการได้ภายในองค์กรเดียวกันเพื่อเริ่มการแบ่งหน้าที่

"ACINQ คือหนึ่งในผู้พัฒนาและผู้ให้บริการหลักของ Lightning Network ซึ่งเป็นเครือข่ายการชำระเงินแบบเปิดที่มีประสิทธิภาพสูงโดยใช้ Bitcoin จากการเรียกใช้โหนดการชำระเงินของเราภายใน AWS Nitro Enclaves ทำให้เราสามารถได้รับการปกป้องระดับสูงที่เราต้องการสำหรับคีย์ส่วนตัวที่ควบคุมเงินของเราโดยแทบจะไม่ต้องแก้ไขโค้ดใดๆ เลย ความสามารถในการเรียกใช้แอปพลิเคชันที่เข้ารหัสที่ซับซ้อนภายใน AWS Nitro Enclaves จะเป็นตัวพลิกเกมในด้านความปลอดภัย และช่วยให้เราสามารถใช้มาตรการรักษาความปลอดภัยเพิ่มเติมได้ เช่น การใช้กระเป๋าเงินฮาร์ดแวร์เพื่อจัดการระบบของเรา เราจะดำเนินการหนึ่งในโหนดการชำระเงินที่ปลอดภัยที่สุดบนเครือข่ายโดยใช้ AWS Nitro Enclaves และวางแผนที่จะย้ายบริการเพิ่มเติมไปยัง AWS Nitro Enclaves มากขึ้นในอนาคตเพื่อลดจุดที่เสี่ยงต่อการถูกโจมตีของระบบโดยรวมของเรา"

Fabrice Drouin ผู้ร่วมก่อตั้งและ CTO จาก ACINQ

“Anjuna ได้คิดค้นวิธีที่พร้อมใช้งานสำหรับองค์กรในการปกป้องสินทรัพย์มูลค่าสูงโดยใช้ประโยชน์จาก AWS Nitro Enclaves ตอนนี้ลูกค้าของเราจึงสามารถตั้งค่าและจัดการสภาพแวดล้อมในการประมวลผลที่แยกเป็นอิสระใน EC2 เพื่อประมวลผลและเสริมความแข็งแกร่งให้กับเวิร์กโหลดบนคลาวด์ภายในไม่กี่นาทีโดยไม่ต้องแก้ไขโค้ดหรือปรับโครงสร้างของโค้ดใหม่ในแอปพลิเคชัน ซอฟต์แวร์ Anjuna Confidential Computing ที่สร้างขึ้นบนระบบ Nitro Enclaves จะลดจุดที่เสี่ยงต่อการถูกโจมตีสำหรับแอปพลิเคชันการประมวลผลข้อมูลที่เป็นความลับและละเอียดอ่อน ได้แก่ ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII), อัลกอริทึมที่เป็นกรรมสิทธิ์, แอปพลิเคชันการคำนวณแบบหลายฝ่าย (MPC), ฐานข้อมูล และการจัดการคีย์/ข้อมูลลับ AWS Nitro Enclaves ช่วยให้ซอฟต์แวร์ของ Anjuna สามารถให้บริการลูกค้าได้ดียิ่งขึ้นในอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด เช่น บริการทางการเงิน เทคโนโลยีทางการเงิน สกุลเงินดิจิทัล ภาครัฐ การดูแลสุขภาพ และผู้ให้บริการ SaaS”

Ayal Yogev ประธานเจ้าหน้าที่บริหารและผู้ร่วมก่อตั้งของ Anjuna Security

“โครงสร้างพื้นฐานตัวตรวจสอบที่พร้อมใช้งานทุกเมื่อและปลอดภัยคือส่วนสำคัญอย่างยิ่งสำหรับเครือข่ายสกุลเงินดิจิทัลที่ยั่งยืน (เช่น Crypto.org Chain) โดยเฉพาะอย่างยิ่งการลงนามในข้อความโปรโตคอลฉันทามติที่ต้องปลอดภัยและแน่นหนา AWS Nitro Enclaves และ AWS KMS ในโครงสร้างพื้นฐานระบบคลาวด์ของเราช่วยให้ Crypto.com และพันธมิตรภายนอกของเราสามารถปรับขนาด ติดตั้งใช้จริง และจัดการกระบวนการลงนามเหล่านี้ได้อย่างง่ายดาย AWS Nitro Enclaves ช่วยรักษาความปลอดภัยและคัดแยกได้อย่างคุ้มค่าสำหรับการจัดการคีย์ความปลอดภัย”

Tomas Tauber, Chain Lead, Crypto.com

"การปกป้องและการประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง เช่น ข้อมูลทางการเงิน ข้อมูลสุขภาพ ข้อมูลประจำตัว และข้อมูลที่เป็นกรรมสิทธิ์ ถือเป็นหนึ่งในกรณีใช้งานหลักสำหรับโครงสร้างพื้นฐานการเข้ารหัสของ Evervault หัวใจสำคัญของ Evervault คือ Evervault Encryption Engine (E3) ซึ่งจะดำเนินการเข้ารหัสทั้งหมดและจัดการคีย์การเข้ารหัสสำหรับลูกค้าของเรา E3 นั้นสร้างขึ้นด้วย AWS Nitro Enclaves ซึ่งช่วยให้มีสภาพแวดล้อมการประมวลผลแบบแยกต่างหาก แข็งแกร่ง และมีข้อจำกัดสูงสำหรับการประมวลผลข้อมูลละเอียดอ่อน การสร้าง E3 บน Nitro Enclaves ช่วยให้เราสามารถรักษาความปลอดภัยผ่านการรับรองการเข้ารหัสได้ และยังเป็นรากฐานที่แข็งแกร่งสำหรับผลิตภัณฑ์และบริการอื่นๆ ทั้งหมดของ Evervault อีกด้วย Nitro Enclaves ช่วยให้เราสามารถมอบบริการที่ปลอดภัยอย่างมาก คุ้มค่า และปรับขนาดได้ให้แก่ลูกค้าโดยเป็นบริการที่สามารถจัดการการเข้ารหัสหลายพันครั้งต่อวินาทีได้และไม่มีค่าใช้จ่ายเพิ่มเติมใดๆ”

Shane Curran, ผู้ก่อตั้งและ CEO จาก Evervault

"พันธกิจของ Footprint คือการนำความไว้วางใจกลับมาสู่อินเทอร์เน็ตอีกครั้ง และสิ่งสำคัญอันดับแรกของเราคือการทำให้แน่ใจว่าเราได้ใช้สถาปัตยกรรมการล็อกคลังนิรภัยที่ซับซ้อนและแข็งแกร่งที่สุดในการจัดเก็บข้อมูล เข้ารหัส และประมวลผลข้อมูลทางการเงินและส่วนบุคคลที่ละเอียดอ่อนสำหรับลูกค้าและผู้ใช้ของพวกเขา เพื่อให้สามารถบรรลุเป้าหมายนี้ เราจึงได้ออกแบบและสร้างโครงสร้างพื้นฐาน Core การล็อกคลังนิรภัยของ Footprint นอกเหนือจาก AWS Nitro Enclaves เนื่องจากเป็นรักษาความปลอดภัยระดับโลก ซึ่งมีความสามารถในการเรียกใช้การเข้ารหัสและยืนยันรหัสใน CPU หน่วยความจำ และสภาพแวดล้อมแบบแยกเครือข่ายเพื่อลดจุดที่เสี่ยงต่อการถูกโจมตีลงอย่างมาก และมอบรากฐานการรักษาความปลอดภัยแก่ลูกค้าของเราซึ่งเหนือชั้นกว่าวิธีการปกติที่ธุรกิจต่างๆ ใช้กันในปัจจุบัน”

Alex Grinman, ผู้ร่วมก่อตั้งและ CTO ของ Footprint

"M10 Networks, Inc พัฒนาและปรับใช้แพลตฟอร์ม M10 Ledger ซึ่งเป็นบริการสำหรับการพัฒนาและแจกจ่ายสกุลเงินดิจิทัลของธนาคารกลางและหนี้สินที่มีการควบคุมด้วยโทเค็นบน AWS แพลตฟอร์มบัญชีแยกประเภทใช้ AWS Nitro Enclaves เพื่อดำเนินการตรวจสอบลายเซ็นและการลงนามด้วยการเข้ารหัสของกลุ่มธุรกรรม การใช้ AWS Nitro Enclaves บนอินสแตนซ์ M6i ล่าสุดของ AWS ทำให้ M10 สามารถส่งมอบโซลูชันที่มีประสิทธิภาพและคุ้มค่าสำหรับตลาดสกุลเงินดิจิทัล”

Sascha Wise วิศวกรผู้ก่อตั้ง M10