AWS Nitro Enclaves

EC2 bulut sunucularındaki hassasiyet düzeyi yüksek verileri daha da iyi korumak için daha fazla yalıtım sağlayın

AWS Nitro Enclaves, Amazon EC2 bulut sunucularındaki kişisel kimlik bilgileri (PII), sağlık bilgileri, finans bilgileri ve fikri mülkiyet verileri gibi hassasiyet düzeyi yüksek verilerini daha da iyi korumak ve güvenli bir şekilde işlemek isteyen müşterilere yalıtımlı işlem ortamları oluşturma olanağı tanır. Nitro Enclaves, EC2 bulut sunucuları için CPU ve bellek yalıtımı sağlayan Nitro Hypervisor teknolojisini kullanır.

Nitro Enclaves, müşterilere en hassas veri işleme uygulamalarının saldırı yüzeyini küçültme konusunda yardımcı olur. Enclave'ler, güvenlik açısından kritik uygulamaların barındırılması için yalıtılmış, güçlendirilmiş ve yüksek seviyede kısıtlanmış bir ortam sunar. Nitro Enclaves'in sunduğu şifre onayı özelliği sayesinde sadece onaylı kodların çalıştığından ve AWS Key Management Service ile entegrasyonun sağlandığından emin olabilir ve hassas içeriklere sadece kendi enclave'lerinizin erişmesini sağlayabilirsiniz.

Amazon EC2 bulut sunucuları ve Nitro Enclaves ile birlikte kullanılan diğer AWS hizmetlerinin kullanımı dışında AWS Nitro Enclaves kullanımı için ek ücret alınmaz.

Nitro Enclaves ile tanışın
AWS Nitro Enclaves'e Genel Bakış
AWS gizli bilgi işlem ile kullanımdaki hassas verileri koruyun

Avantajlar

Gelişmiş yalıtım ve güvenlik

Enclave’ler tamamen izole edilmiş sanal makinelerdir, kuvvetlendirilmiş ve oldukça sınırlandırılmıştır. Bunların kalıcı depolama alanları, etkileşimli erişimleri ve harici ağları yoktur. Bulut sunucunuz ile enclave'iniz arasındaki iletişim, güvenli bir yerel kanal üzerinden gerçekleştirilir. Bulut sunucusundaki bir tam yetkili kullanıcı veya yönetici düzeyindeki bir kullanıcı bile, enclave’e eya SSH’ye erişemez.

Nitro Enclaves, enclave’in CPU’sunu ve belleğini üst bulut sunucusundaki kullanıcılardan, uygulamalardan ve kitaplıklardan daha da izole etmek için Nitro Hypervisor’ın kanıtlanmış izolasyonunu kullanır. Enclave'inizin ve yazılımınızın yalıtılmasına yardımcı olan bu özellikler, saldırı yüzeyi alanını önemli ölçüde küçültür.

Şifre onayı

Onay özelliği, enclave'inizde sadece onaylı kodun çalıştığından emin olmanızı ve enclave'in kimliğini doğrulamanızı sağlar. Onay sürecini gerçekleştiren Nitro Hypervisor, enclave'in başka bir tarafa veya hizmete kimliğini kanıtlayabilmesi için imzalanmış bir onay belgesi üretir. Onay belgeleri, enclave'in temel bilgilerini içerir. Enclave'in genel erişim anahtarı ile enclave görüntüsünün ve uygulamalarının karmaları bunlardan bazılarıdır. Nitro Enclaves'in AWS KMS entegrasyonu sayesinde KMS, enclave'den gönderilen bu onay belgelerini okuyabilir ve doğrulayabilir.

Esnek

Nitro Enclave’ler esnektir. Çeşitli CPU çekirdeği ve bellek kombinasyonlarıyla enclave'ler oluşturabilirsiniz. Böylece, mevcut EC2 bulut sunucularınızda çalıştırmakta olduğunuz yüksek bellek veya işlem kaynağı gerektiren uygulamaları çalıştırmaya devam etmek için yeterli kaynağa sahip olduğunuzdan emin olursunuz. Nitro Enclave’ler işlemciden bağımsızdır ve farklı CPU satıcıları tarafından desteklenen bulut sunucularında kullanılabilir. Ayrıca herhangi bir programlama dili veya çerçevesiyle de uyumludurlar. Buna ek olarak Nitro Enclaves’in pek çok bileşeni açık kaynaklı olduğundan dolayı müşteri, kodu inceleyebilir ve kendisi bunu doğrulayabilir.

Nasıl çalışır?

Nitro Enclaves Nasıl Çalışır?

Şekil 1: Nitro Enclaves Nasıl Çalışır? Süreç Akışı

Şekil 2: Nitro Enclaves, bir Enclave ile EC2 bulut sunucusu arasında yalıtım sağlamak amacıyla, EC2 bulut sunucularında CPU ve bellek yalıtımı oluşturan Nitro Hypervisor teknolojisini kullanır.

Şekil 3: Bir enclave, üst bulut sunucusu adı verilen bir EC2 bulut sunucusunun CPU’su ve belleği bölümlenerek oluşturulur. Çeşitli CPU çekirdeği ve bellek kombinasyonlarıyla enclave'ler oluşturabilirsiniz. Yukarıda m5.4xlarge’ın bir üst bulut sunucuna (14 vCPU, 32 GiB Bellek) ve Enclave’e (2 vCPU, 32 GiB Bellek) bölünmüş olarak kullanıldığı bir bulut sunucusu belirtilmektedir. Üst bulut sunucusu ile enclave arasındaki iletişim, vsock adı verilen güvenli bir yerel bağlantı yoluyla yapılır.

Kullanım örnekleri

Özel Anahtarların Güvenliğini Sağlama

Müşteriler artık özel anahtarları (ör. SSL/TLS) bir enclave’de izole edebilir ve kullanabilirken, üst bulut sunucusundaki kullanıcıların, uygulamaların ve kitaplıkların bu anahtarları görüntülemesini engelleyebilir. Normalde, bu özel anahtarlar EC2 bulut sunucusunda düz metin olarak saklanır.

AWS Certificate Manager (ACM) for Nitro Enclaves, AWS Nitro Enclaves ile Amazon EC2 bulut sunucuları üzerinde çalışan web uygulamalarınız ve sunucularınızda genel ve özel SSL/TLS sertifikalarını kullanmanıza olanak tanıyan bir enclave uygulamasıdır.

Tokenizasyon

Tokenizasyon, kredi kartı numaraları veya sağlık hizmetleri verileri gibi oldukça hassas verileri bir token’a dönüştüren bir işlemdir. Nitro Enclave ile müşteriler, bu dönüşümü bir enclave içinde gerçekleştiren uygulamayı çalıştırabilir. Şifrelenmiş veriler, şifresinin çözüldüğü ve daha sonra işlendiği enclave’e gönderilebilir. Üst EC2 bulut sunucusu, bu işlem süresince hassas verileri görüntüleyemeyecek veya bu verilere erişemeyecektir.

Çok taraflı hesaplama

Nitro Enclave’lerin kriptografik doğrulama özelliğini kullanarak müşteriler, gerçek verileri her bir tarafa ifşa etmek veya paylaşmak zorunda kalmadan çok sayıda tarafın son derece hassas verileri birleştirip işleyebileceği çok taraflı hesaplama kurabilir. Görev ayrımı oluşturmak için aynı organizasyon içinde çok taraflı hesaplama da yapılabilir.

Müşteri öyküleri