AWS Nitro Enclaves
AWS Nitro Enclaves cho phép khách hàng tạo các môi trường điện toán cách ly để bảo vệ thêm và xử lý một cách bảo mật các dữ liệu rất nhạy cảm như thông tin nhận dạng cá nhân (PII), dữ liệu chăm sóc sức khỏe, tài chính và tài sản trí tuệ bên trong các phiên bản Amazon EC2 của họ. Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ cung cấp cách ly CPU và bộ nhớ cho các phiên bản EC2.
Nitro Enclaves giúp khách hàng giảm vùng bề mặt tấn công cho những ứng dụng xử lý dữ liệu các dữ liệu nhạy cảm nhất của họ. Phần tách rời cung cấp môi trường cách ly, được củng cố và hạn chế cao để lưu trữ các ứng dụng quan trọng với bảo mật. Nitro Enclaves bao gồm chứng nhận mật mã cho phần mềm của bạn để bạn có thể đảm bảo rằng chỉ mã được ủy quyền đang chạy, cùng tích hợp với AWS Key Management Service để đảm bảo chỉ phần tách rời của bạn có thể truy cập tài liệu nhạy cảm.
Bạn không mất thêm phí khi sử dụng AWS Nitro Enclaves ngoài việc sử dụng các phiên bản Amazon EC2 và bất kỳ dịch vụ AWS nào khác được dùng với Nitro Enclaves.
Lợi ích
Cách ly và bảo mật bổ sung
Phần tách rời là các máy ảo được cách ly đầy đủ, được củng cố và hạn chế cao. Những phần này không có dung lượng lưu trữ lâu dài, không có quyền truy cập tương tác và không có mạng bên ngoài. Hoạt động liên lạc giữa phiên bản và phần tách rời của bạn được thực hiện thông qua một kênh cục bộ bảo mật. Ngay cả người dùng gốc hoặc người dùng quản trị trên phiên bản không thể truy cập hoặc SSH vào phần tách rời.
Nitro Enclaves sử dụng cách ly đã được chứng minh của Nitro Hypervisor để cách ly thêm CPU và bộ nhớ của phần tách rời khỏi người dùng, ứng dụng và thư viện trên phiên bản chính. Các tính năng này giúp cách ly phần tách rời với phần mềm của bạn và làm giảm đáng kể vùng bề mặt tấn công.
Chứng thực mã hóa
Chứng thực cho phép bạn xác minh danh tính của phần tách rời và chỉ mã được ủy quyền đang chạy trong phần tách rời. Quy trình chứng thực được thực hiện thông qua Nitro Hypervisor, tạo cho phần tách rời tài liệu chứng thực được ký để chứng minh danh tính của phần tách rời đó với bên khác hoặc dịch vụ khác. Tài liệu chứng thực chứa các chi tiết chính về phần tách rời, chẳng hạn như khóa công khai của phần tách rời, hàm băm của hình ảnh phần tách rời và ứng dụng, cùng nhiều nội dung khác. Nitro Enclaves bao gồm tích hợp AWS KMS, cụ thể là KMS có thể đọc và xác minh các tài liệu chứng thực được gửi từ phần tách rời này.
Linh hoạt
Nitro Enclaves linh hoạt. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Điều này đảm bảo bạn có để tài nguyên để chạy chính các ứng dụng thiên về điện toán hoặc bộ nhớ vốn đang chạy trên các phiên bản EC2 của bạn. Nitro Enclaves không phụ thuộc bộ xử lý và có thể được sử dụng trên nhiều phiên bản do các nhu cung cấp CPU khác nhau cung cấp. Chúng cũng tương thích với bất kỳ ngôn ngữ lập trình hoặc khung nào. Ngoài ra, vì nhiều thành phần của Nitro Enclaves là nguồn mở, nên khách hàng có thể kiểm tra mã và tự xác thực.
Cách thức hoạt động

Hình 1: Nitro Enclaves Cách thức hoạt động Luồng quy trình

Hình 2: Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ tạo cách ly CPU và bộ nhớ trong các phiên bản EC2, để tạo cách ly giữa Enclave và phiên bản EC2.

Hình 3: Một phần tách rời được tạo ra bằng cách phân vùng CPU và bộ nhớ của phiên bản EC2, được gọi là phiên bản chính. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Phía trên là ví dụ sử dụng m5.4xlarge chia thành phiên bản chính (14 vCPU, bộ nhớ 32 GiB) và Phần tách rời (2 vCPU, bộ nhớ 32 GiB). Giao tiếp giữa phiên bản chính và phần tách rời được thực hiện qua kết nối cục bộ bảo mật được gọi là vsock.
Trường hợp sử dụng
Giữ bảo mật khóa riêng
Khách hàng giờ đây có thể cách ly và sử dụng khóa riêng (ví dụ: SSL/TLS) trong phần tách rời mà vẫn ngăn người dùng, ứng dụng và thư viện trên phiên bản chính xem những khóa đó. Thông thường, những khóa riêng này được lưu trữ trong phiên bản EC2 ở dạng văn bản thuần túy.
AWS Certificate Manager (ACM) dành cho Nitro Enclaves là một ứng dụng tách rời cho phép bạn sử dụng chứng chỉ SSL/TLS công khai và riêng với các máy chủ và ứng dụng web chạy trên phiên bản Amazon EC2 với AWS Nitro Enclaves.
Tokenization
Tokenization là một quy trình chuyển đổi dữ liệu có độ nhạy cảm cao như số thẻ tín dụng hoặc dữ liệu chăm sóc sức khỏe vào một token. Với Nitro Enclaves, khách hàng có thể chạy ứng dụng thực hiện chuyển đổi bên trong phần tách rời. Dữ liệu được mã hóa có thể được gửi tới phần tách rời, nơi dữ liệu được giải mã và xử lý. Phiên bản EC2 chính sẽ không thể xem hoặc truy cập vào dữ liệu nhạy cảm thông qua quy trình này.
Điện toán nhiều bên
Nhờ dùng khả năng chứng thực mã hóa của Nitro Enclaves, khách hàng có thể thiết lập điện toán nhiều bên, trong đó nhiều bên có thể tham gia và xử lý dữ liệu có tính nhạy cảm cao mà không cần tiết lộ hoặc chia sẻ dữ liệu thực cho từng bên. Điện toán nhiều bên cũng có thể được thực hiện trong cùng một tổ chức để thiết lập phân chia nhiệm vụ.
Tài nguyên
- Hướng dẫn sử dụng AWS Nitro Enclaves
- Bắt đầu với Nitro Enclaves
- ACM cho Nitro Enclaves
- AWS Nitro Enclaves CLI
- AWS Nitro Enclaves NSM API
- AWS Nitro Enclaves SDK
- Blog: AWS Nitro Enclaves – Môi trường EC2 được cách ly để xử lý dữ liệu mật
- Thông tin mới: Nitro Enclaves
- Thông tin mới: ACM cho Nitro Enclaves
Câu chuyện của khách hàng

"ACINQ là một trong những nhà phát triển và khai thác chính của Lightning Network, một mạng lưới thanh toán mở, hiệu năng cao dựa trên Bitcoin. Bằng cách chạy các nút thanh toán bên trong AWS Nitro Enclaves, chúng tôi đã có thể đạt được mức độ bảo vệ chặt chẽ cần thiết cho các khóa riêng có chức năng kiểm soát quỹ của chúng tôi mà gần như không phải sửa đổi mã. Xét từ góc nhìn bảo mật, khả năng chạy các ứng dụng phức tạp, được chứng thực bằng mật mã bên trong AWS Nitro Enclaves là một bước đột phá và cho phép chúng tôi triển khai thêm các biện pháp bảo mật như sử dụng ví phần cứng để quản lý hệ thống. Bằng cách sử dụng AWS Nitro Enclaves, chúng tôi vận hành một trong những nút thanh toán bảo mật nhất trên mạng và dự định di chuyển nhiều dịch vụ hơn nữa sang AWS Nitro Enclaves để giảm tấn công bề mặt cho hệ thống tổng thể của chúng tôi."
Fabrice Drouin, Người đồng sáng lập và CTO của ACINQ

“Anjuna đổi mới cách thức sẵn sàng cho doanh nghiệp để bảo vệ tài sản có giá trị cao bằng cách tận dụng AWS Nitro Enclaves. Giờ đây khách hàng của chúng tôi có thể thiết lập và quản lý môi trường điện toán phân lập trong EC2 để xử lý và củng cố khối lượng công việc trên đám mây trong vài phút mà không phải viết lại mã hay tái cấu trúc ứng dụng. Phần mềm Anjuna Confidential Computing được xây dựng trên Nitro Enclaves, giảm bề mặt tấn công cho các ứng dụng xử lý dữ liệu bí mật và nhạy cảm như: thông tin nhận dạng cá nhân (PII), thuật toán độc quyền, ứng dụng điện toán nhiều bên (MPC), cơ sở dữ liệu và quản lý khóa/bí mật. AWS Nitro Enclaves cho phép phần mềm của Anjuna phục vụ khách hàng tốt hơn trong các lĩnh vực được quản lý chặt chẽ như dịch vụ tài chính, công nghệ tài chính, tiền điện tử, chính phủ, chăm sóc sức khỏe và nhà cung cấp SaaS”.
Ayal Yogev, Giám đốc điều hành kiêm Nhà sáng lập, Anjuna Security

“Cape Privacy tập trung vào bảo mật dữ liệu và quyền riêng tư cho AI tận dụng đám mây. Các công ty có thể sử dụng API Cape để tận dụng sức mạnh của Mô Hình Ngôn Ngữ Lớn cho cơ sở kiến thức tùy chỉnh có thể bao gồm dữ liệu nhạy cảm hoặc bí mật. API Cape được thiết kế để cung cấp quyền riêng tư cho dữ liệu khách hàng mà không ảnh hưởng đến giá trị của việc sử dụng Mô Hình Ngôn Ngữ Lớn. Khách hàng sử dụng mô hình Cape trên Amazon EC2 có thể tự tin vào cách tiếp cận của Cape Privacy để bảo vệ dữ liệu nhạy cảm của họ vì họ sử dụng AWS Nitro Enclaves trên Hệ thống AWS Nitro với nhiều kỹ thuật xử lý dữ liệu bảo vệ quyền riêng tư khác nhau để đảm bảo rằng không ai có thể nhìn thấy dữ liệu của bạn.”
Ché Wijesinghe, Giám đốc điều hành, Cape Privacy

"Cơ sở hạ tầng của trình xác nhận với độ bảo mật và mức độ sẵn sàng cao là yếu tố thiết yếu đối với các mạng tiền ảo bền vững (như Chuỗi Crypto.org). Cụ thể, việc ký kết các thông điệp giao thức đồng thuận là một khía cạnh quan trọng cần được bảo mật và củng cố. Trong cơ sở hạ tầng đám mây của chúng tôi, AWS Nitro Enclaves và AWS KMS giúp Crypto.com và các đối tác bên ngoài của chúng tôi dễ dàng thay đổi quy mô, triển khai và quản lý những quy trình ký kết này. AWS Nitro Enclaves đem lại khả năng củng cố và cách ly tiết kiệm chi phí để quản lý khóa bảo mật.”
Tomas Tauber, Trưởng bộ phận chuỗi, Crypto.com
.b0c7082953d5cdec270138c6aeea19e2b3f6db10.png)
"Là một Trình quản lý mật khẩu, Dashlane chịu trách nhiệm bảo mật một số dữ liệu nhạy cảm nhất cho các tổ chức. Sử dụng AWS Nitro Enclaves, khách hàng của chúng tôi có thể cắt giảm một nửa thời gian thiết lập tích hợp của họ, đồng thời đảm bảo mức độ bảo mật cao nhất. AWS Nitro Enclaves cung cấp một phương thức đột phá để cô lập hoàn toàn các khóa mã hóa, cho phép các tổ chức yên tâm rằng dữ liệu của họ được bảo vệ và giữ kín, đồng thời những bên không được cấp quyền, kể cả Dashlane, sẽ không thể xem hay truy cập các khóa."
Frederic Rivain, Giám đốc công nghệ của Dashlane

"Một trong những trường hợp sử dụng chính đối với cơ sở hạ tầng mã hóa của Evervault là bảo vệ và xử lý các thông tin có độ nhạy cảm cao như tài chính, chăm sóc y tế, danh tính và dữ liệu độc quyền. Cốt lõi của Evervault là Evervault Encryption Engine (E3), một công cụ thực hiện các hoạt động mã hóa và xử lý khóa mã hóa cho khách hàng của chúng tôi. E3 được xây dựng trên AWS Nitro Enclaves, tính năng cung cấp một môi trường điện toán biệt lập, được củng cố và hạn chế cao để xử lý dữ liệu nhạy cảm. Khi xây dựng E3 trên Nitro Enclaves, chúng tôi có thể cung cấp cả khả năng bảo mật thông qua chứng thực mã hóa và một nền tảng vững chắc cho tất cả các sản phẩm và dịch vụ khác của Evervault. Nhờ có Nitro Enclaves, chúng tôi có thể cung cấp dịch vụ có độ bảo mật cao, tiết kiệm chi phí và quy mô linh hoạt cho khách hàng của mình; dịch vụ có khả năng xử lý hàng nghìn hoạt động mã hóa trên một giây, mà không bị tính thêm phí.”
Shane Curran, Nhà sáng lập và Giám đốc điều hành, Evervault

"Sứ mệnh của Footprint là mang sự tin tưởng trở lại với Internet và ưu tiên hàng đầu của chúng tôi là đảm bảo rằng chúng tôi sử dụng kiến trúc vault tinh vi và mạnh mẽ nhất để lưu trữ, mã hóa và xử lý dữ liệu tài chính và cá nhân nhạy cảm cho khách hàng của chúng tôi và người dùng của họ. Để đạt được điều này, chúng tôi đã thiết kế kiến trúc và xây dựng cơ sở hạ tầng vault lõi của Footprint trên AWS Nitro Enclaves nhờ khả năng bảo mật tầm cỡ thế giới mà tính năng này mang lại: khả năng chạy mã được ký và chứng thực bằng mật mã trong một CPU, bộ nhớ và môi trường biệt lập với mạng để giảm đáng kể diện tích tấn công bề mặt và mang lại cho khách hàng của chúng tôi một nền tảng bảo mật vượt xa các phương pháp tiện cận thông thường hiện đang được các doanh nghiệp sử dụng.”
Alex Grinman, Nhà đồng sáng lập kiêm CTO của Footprint

"M10 Networks, Inc phát triển và triển khai Nền tảng sổ cái M10, một dịch vụ nhằm phát triển và phân phối tiền kỹ thuật số của ngân hàng trung ương cũng như các khoản nợ theo quy định được mã hóa ký thuật số, trên AWS. Nền tảng sổ cái sử dụng AWS Nitro Enclaves để thực hiện xác minh chữ ký và ký lại mã hóa các lô giao dịch. Sử dụng AWS Nitro Enclaves trên các phiên bản M6i mới nhất của AWS, M10 có thể cung cấp giải pháp hiệu năng cao và tiết kiệm chi phí cho thị trường tiền kỹ thuật số.”
Sascha Wise, Kỹ sư sáng lập M10