AWS Nitro Enclaves

建立額外的隔離,進一步包含 EC2 執行個體內的高度敏感資料

AWS Nitro Enclaves 可讓客戶建立隔離的運算環境來進一步保護和安全處理高度敏感的資料,例如 Amazon EC2 執行個體內的個人可識別資訊 (PII)、醫療保健、金融及智慧財產權資料。Nitro Enclaves 使用相同的 Nitro Hypervisor技術,其可為 EC2 執行個體提供 CPU 和記憶體隔離。

Nitro Enclaves 可協助客戶減少其最敏感資料處理應用程式的攻擊面。Enclaves 提供隔離、強化以及高度受限的環境來主控安全性關鍵應用程式。Nitro Enclaves 包含適用於您軟體的加密證明,如此您可確保僅執行授權的程式碼,以及與 AWS Key Management Service 整合,這樣只有您的飛地可以存取機密材料。

除了使用 Amazon EC2 執行個體和與 Nitro Enclaves 一起使用的任何其他 AWS 服務外,使用 AWS Nitro Enclaves 無需支付額外費用。

Nitro Enclaves 簡介
AWS Nitro Enclaves 概觀

優勢

額外的隔離和安全

飛地是完全隔離的虛擬機器,經過了強化並且受到嚴格限制。它們沒有持久性儲存,沒有互動存取,也沒有外部聯網。您的執行個體與飛地之間的通訊是透過安全的本機通道完成。執行個體上的 root 使用者或管理員使用者也將無法存取或透過 SSH 進入飛地。

Nitro Enclaves 使用久經考驗的 Nitro Hypervisor 隔離功能,進一步將飛地的 CPU 和記憶體與父執行個體上的使用者、應用程式和程式庫隔離。這些功能可協助隔離飛地和您的軟體,且可大幅減少攻擊面。

加密證明

證明可讓您驗證飛地的身分以及飛地中僅執行授權的程式碼。證明程序是透過 Nitro Hypervisor 完成的,可針對飛地產生簽署的證明文件,以向其他方或服務證明其身分。證明文件包含飛地的關鍵詳細資料,例如飛地的公開金鑰、飛地影像和應用程式的雜湊等。Nitro Enclaves 包括 AWS KMS 整合,其中 KMS 能夠讀取和驗證從飛地傳送的這些證明文件。

靈活

Nitro Enclaves 非常靈活。您可以藉由 CPU 核心和記憶體的各種組合來建立飛地。這可確保您有足夠的資源,可執行與您已在現有 EC2 執行個體上執行相同的記憶體或運算密集型應用程式。Nitro Enclaves 適用於各種處理器,可以在由不同 CPU 供應商提供支援的執行個體中使用。它們還與任何程式設計語言或框架相容。此外,由於 Nitro Enclaves 的許多元件都開放原始碼,因客戶甚至可以自行檢查程式碼並驗證。

運作方式

Nitro Enclaves 運作方式

圖 1:Nitro Enclaves 工作流程運作方式

product-page-diargam_Nitro-Enclaves_Enclaves@2x

圖 2:Nitro Enclaves 使用相同的 Nitro Hypervisor 技術,可在 EC2 執行個體之間建立 CPU 和記憶體隔離,以在 Enclave 和 EC2 執行個體之間建立隔離。

product-page-diargam_Nitro-Enclaves_Equations@2x

圖 3:飛地透過對稱為父執行個體的 EC2 執行個體的 CPU 和記憶體進行分割來建立。您可以藉由 CPU 核心和記憶體的各種組合來建立飛地。上面的範例將 m5.4xlarge 分割為一個父執行個體 (14 個 vCPU、32 GiB 記憶體) 和一個飛地 (2 個 vCPU、32 GiB 記憶體)。父執行個體與飛地之間的通訊透過稱為 vsock 的安全本機連線完成。

使用案例

保護私有金鑰

客戶現在可以在飛地內隔離和使用私有金鑰 (例如 SSL/TLS),同時防止父執行個體上的使用者、應用程式和程式庫查看這些金鑰。通常,這些私有金鑰以純文字格式儲存在 EC2 執行個體上。

AWS Certificate Manager (ACM) for Nitro Enclaves 是一個飛地應用程式,它讓您可以將公有和私有 SSL/TLS 證書用於具有 AWS Nitro Enclaves 的 Amazon EC2 執行個體上執行的 Web 應用程式和伺服器。

字符化

字符化是將高度敏感的資料 (例如信用卡號或醫療資料) 轉換為字符的過程。借助 Nitro Enclaves,客戶可以飛地中執行能夠完成此轉換的應用程式。可以將加密的資料傳送到飛地,然後在飛地解密然並處理。在整個過程中,父 EC2 執行個體將無法檢視或存取敏感資料。

多方運算

利用 Nitro Enclaves 的加密證明功能,客戶可以建立多方運算,其中多方可以加入並處理高度敏感的資料,而不必向每個單獨方公開或共享實際資料。多方運算也可以在同一組織內進行,以實現責任分離。

客戶案例

Anuja Security
「Anjuna 運用 AWS Nitro Enclaves 來創新企業級服務以保護高價值資產。現在,我們的客戶可以在 EC2 中設定和管理隔離的運算環境,無須重新編碼或重構應用程式便能在數分鐘內處理和強化雲端工作負載。Anjuna 機密運算軟體在 Nitro Enclaves 上建置,可減少個人身分識別資訊 (PII)、專屬演算法、多方運算 (MPC) 應用程式、資料庫和金鑰/機密管理等機密和敏感資料處理應用程式的受攻擊面。AWS Nitro Enclaves 允許 Anjuna 的軟體能夠為金融服務、金融科技、加密、政府、醫療保健和 SaaS 服務廠商等嚴格監管行業的客戶提供更好的服務。」

Anjuna Security 執行長暨共同創辦人 Ayal Yogev

Crypto.com
「高度可用且安全的驗證器基礎設施對於可持續的加密貨幣網路 (例如 Crypto.org 鏈) 至關重要。具體來說,需要保護和加固的一個關鍵方面是共識協議訊息的簽署。在我們的雲基礎設施中,AWS Nitro Enclaves 和 AWS KMS 使 Crypto.com 和我們的外部合作夥伴可以輕鬆擴展、部署和管理這些簽署流程。AWS Nitro Enclaves 為安全的金鑰管理提供經濟實惠的強化和隔離。」

Crypto.com 鏈主管 Tomas Tauber

Evervault
「保護和處理金融、醫療保健、身分和專有資料等高度敏感的資訊是 Evervault 加密基礎設施的主要使用案例之一。Evervault 的核心是我們的 Evervault 加密引擎 (E3),它執行所有加密操作並為我們的客戶處理加密金鑰。E3 建置於 AWS Nitro Enclaves 之上,提供隔離、強化且高度受限的運算環境供處理敏感資料。在 Nitro Enclaves 上建置 E3 意味著我們可以透過加密證明提供安全性,並為所有其他 Evervault 產品和服務提供強大的基礎。Nitro Enclaves 無需額外費用,使我們能夠為客戶提供高度安全、經濟實惠且可擴展的服務;一種能夠每秒處理數千次加密操作的服務。」

Evervault 創辦人兼執行長 Shane Curran

M10 Networks, Inc.
「M10 Networks, Inc 在 AWS 上開發和部署他們的 M10 Ledger Platform,這是一種用於開發和分配中央銀行數位貨幣和字符化受監管責任的服務。Ledger Platform 使用 AWS Nitro Enclaves 來執行批量交易的簽章驗證和加密重新簽署。在 AWS 最新的 M6i 執行個體上使用 AWS Nitro Enclaves,M10 能夠為數位貨幣市場提供高效能且具成本效益的解決方案。」

Sascha Wise,M10 創始工程師