AWS Nitro Enclaves

EC2 bulut sunucularındaki hassasiyet düzeyi yüksek verileri daha da iyi korumak için daha fazla yalıtım sağlayın

Neden AWS Nitro Enclaves?

AWS Nitro Enclaves, Amazon EC2 bulut sunucularındaki kişisel kimlik bilgileri (PII), sağlık bilgileri, finans bilgileri ve fikri mülkiyet verileri gibi hassasiyet düzeyi yüksek verilerini daha da iyi korumak ve güvenli bir şekilde işlemek isteyen müşterilere yalıtımlı işlem ortamları oluşturma olanağı tanır. Nitro Enclaves, EC2 bulut sunucuları için CPU ve bellek yalıtımı sağlayan Nitro Hypervisor teknolojisini kullanır.

Nitro Enclaves, müşterilere en hassas veri işleme uygulamalarının saldırı yüzeyini küçültme konusunda yardımcı olur. Enclave'ler, güvenlik açısından kritik uygulamaların barındırılması için yalıtılmış, güçlendirilmiş ve yüksek seviyede kısıtlanmış bir ortam sunar. Nitro Enclaves'in sunduğu şifre onayı özelliği sayesinde sadece onaylı kodların çalıştığından ve AWS Key Management Service ile entegrasyonun sağlandığından emin olabilir ve hassas içeriklere sadece kendi enclave'lerinizin erişmesini sağlayabilirsiniz.

Amazon EC2 bulut sunucuları ve Nitro Enclaves ile birlikte kullanılan diğer AWS hizmetlerinin kullanımı dışında AWS Nitro Enclaves kullanımı için ek ücret alınmaz.

Avantajlar

Enclave’ler tamamen izole edilmiş sanal makinelerdir, kuvvetlendirilmiş ve oldukça sınırlandırılmıştır. Bunların kalıcı depolama alanları, etkileşimli erişimleri ve harici ağları yoktur. Bulut sunucunuz ile enclave'iniz arasındaki iletişim, güvenli bir yerel kanal üzerinden gerçekleştirilir. Bulut sunucusundaki bir tam yetkili kullanıcı veya yönetici düzeyindeki bir kullanıcı bile, enclave’e eya SSH’ye erişemez.

Nitro Enclaves, enclave’in CPU’sunu ve belleğini üst bulut sunucusundaki kullanıcılardan, uygulamalardan ve kitaplıklardan daha da izole etmek için Nitro Hypervisor’ın kanıtlanmış izolasyonunu kullanır. Enclave'inizin ve yazılımınızın yalıtılmasına yardımcı olan bu özellikler, saldırı yüzeyi alanını önemli ölçüde küçültür.

Onay özelliği, enclave'inizde sadece onaylı kodun çalıştığından emin olmanızı ve enclave'in kimliğini doğrulamanızı sağlar. Onay sürecini gerçekleştiren Nitro Hypervisor, enclave'in başka bir tarafa veya hizmete kimliğini kanıtlayabilmesi için imzalanmış bir onay belgesi üretir. Onay belgeleri, enclave'in temel bilgilerini içerir. Enclave'in genel erişim anahtarı ile enclave görüntüsünün ve uygulamalarının karmaları bunlardan bazılarıdır. Nitro Enclaves'in AWS KMS entegrasyonu sayesinde KMS, enclave'den gönderilen bu onay belgelerini okuyabilir ve doğrulayabilir.

Nitro Enclave’ler esnektir. Çeşitli CPU çekirdeği ve bellek kombinasyonlarıyla enclave'ler oluşturabilirsiniz. Böylece, mevcut EC2 bulut sunucularınızda çalıştırmakta olduğunuz yüksek bellek veya işlem kaynağı gerektiren uygulamaları çalıştırmaya devam etmek için yeterli kaynağa sahip olduğunuzdan emin olursunuz. Nitro Enclave’ler işlemciden bağımsızdır ve farklı CPU satıcıları tarafından desteklenen bulut sunucularında kullanılabilir. Ayrıca herhangi bir programlama dili veya çerçevesiyle de uyumludurlar. Buna ek olarak Nitro Enclaves’in pek çok bileşeni açık kaynaklı olduğundan dolayı müşteri, kodu inceleyebilir ve kendisi bunu doğrulayabilir.

Kullanım örnekleri

Müşteriler artık özel anahtarları (ör. SSL/TLS) bir enclave’de izole edebilir ve kullanabilirken, üst bulut sunucusundaki kullanıcıların, uygulamaların ve kitaplıkların bu anahtarları görüntülemesini engelleyebilir. Normalde, bu özel anahtarlar EC2 bulut sunucusunda düz metin olarak saklanır.

Nitro Enclaves için AWS Sertifika Yöneticisi (ACM), AWS Nitro Enclaves ile Amazon EC2 bulut sunucuları üzerinde çalışan web uygulamalarınız ve sunucularınızda genel ve özel SSL/TLS sertifikalarını kullanmanıza olanak tanıyan bir yerleşim bölgesi uygulamasıdır.

Tokenizasyon, kredi kartı numaraları veya sağlık hizmetleri verileri gibi oldukça hassas verileri bir token’a dönüştüren bir işlemdir. Nitro Enclave ile müşteriler, bu dönüşümü bir enclave içinde gerçekleştiren uygulamayı çalıştırabilir. Şifrelenmiş veriler, şifresinin çözüldüğü ve daha sonra işlendiği enclave’e gönderilebilir. Üst EC2 bulut sunucusu, bu işlem süresince hassas verileri görüntüleyemeyecek veya bu verilere erişemeyecektir.

Nitro Enclave’lerin kriptografik doğrulama özelliğini kullanarak müşteriler, gerçek verileri her bir tarafa ifşa etmek veya paylaşmak zorunda kalmadan çok sayıda tarafın son derece hassas verileri birleştirip işleyebileceği çok taraflı hesaplama kurabilir. Görev ayrımı oluşturmak için aynı organizasyon içinde çok taraflı hesaplama da yapılabilir.

Müşteri Hikayeleri