AWS Nitro Enclaves

Phần tách rời là các máy ảo được cách ly đầy đủ, được củng cố và hạn chế cao. Những phần này không có dung lượng lưu trữ lâu dài, không có quyền truy cập tương tác và không có mạng bên ngoài. Hoạt động liên lạc giữa phiên bản và phần tách rời của bạn được thực hiện thông qua một kênh cục bộ bảo mật. Ngay cả người dùng gốc hoặc người dùng quản trị trên phiên bản không thể truy cập hoặc SSH vào phần tách rời.

Nitro Enclaves sử dụng cách ly đã được chứng minh của Nitro Hypervisor để cách ly thêm CPU và bộ nhớ của phần tách rời khỏi người dùng, ứng dụng và thư viện trên phiên bản chính. Các tính năng này giúp cách ly phần tách rời với phần mềm của bạn và làm giảm đáng kể vùng bề mặt tấn công.

Chứng thực cho phép bạn xác minh danh tính của phần tách rời và chỉ mã được ủy quyền đang chạy trong phần tách rời. Quy trình chứng thực được thực hiện thông qua Nitro Hypervisor, tạo cho phần tách rời tài liệu chứng thực được ký để chứng minh danh tính của phần tách rời đó với bên khác hoặc dịch vụ khác. Tài liệu chứng thực chứa các chi tiết chính về phần tách rời, chẳng hạn như khóa công khai của phần tách rời, hàm băm của hình ảnh phần tách rời và ứng dụng, cùng nhiều nội dung khác. Nitro Enclaves bao gồm tích hợp AWS KMS, cụ thể là KMS có thể đọc và xác minh các tài liệu chứng thực được gửi từ phần tách rời này.

Nitro Enclaves linh hoạt. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Điều này đảm bảo bạn có để tài nguyên để chạy chính các ứng dụng thiên về điện toán hoặc bộ nhớ vốn đang chạy trên các phiên bản EC2 của bạn. Nitro Enclaves không phụ thuộc bộ xử lý và có thể được sử dụng trên nhiều phiên bản do các nhu cung cấp CPU khác nhau cung cấp. Chúng cũng tương thích với bất kỳ ngôn ngữ lập trình hoặc khung nào. Ngoài ra, vì nhiều thành phần của Nitro Enclaves là nguồn mở, nên khách hàng có thể kiểm tra mã và tự xác thực.

Khách hàng giờ đây có thể cách ly và sử dụng khóa riêng (ví dụ: SSL/TLS) trong phần tách rời mà vẫn ngăn người dùng, ứng dụng và thư viện trên phiên bản chính xem những khóa đó. Thông thường, những khóa riêng này được lưu trữ trong phiên bản EC2 ở dạng văn bản thuần túy.

AWS Certificate Manager (ACM) dành cho Nitro Enclaves là một ứng dụng tách rời cho phép bạn sử dụng chứng chỉ SSL/TLS công khai và riêng với các máy chủ và ứng dụng web chạy trên phiên bản Amazon EC2 với AWS Nitro Enclaves.

Tokenization là một quy trình chuyển đổi dữ liệu có độ nhạy cảm cao như số thẻ tín dụng hoặc dữ liệu chăm sóc sức khỏe vào một token. Với Nitro Enclaves, khách hàng có thể chạy ứng dụng thực hiện chuyển đổi bên trong phần tách rời. Dữ liệu được mã hóa có thể được gửi tới phần tách rời, nơi dữ liệu được giải mã và xử lý. Phiên bản EC2 chính sẽ không thể xem hoặc truy cập vào dữ liệu nhạy cảm thông qua quy trình này.

Nhờ dùng khả năng chứng thực mã hóa của Nitro Enclaves, khách hàng có thể thiết lập điện toán nhiều bên, trong đó nhiều bên có thể tham gia và xử lý dữ liệu có tính nhạy cảm cao mà không cần tiết lộ hoặc chia sẻ dữ liệu thực cho từng bên. Điện toán nhiều bên cũng có thể được thực hiện trong cùng một tổ chức để thiết lập phân chia nhiệm vụ.

“Anjuna đổi mới cách thức sẵn sàng cho doanh nghiệp để bảo vệ tài sản có giá trị cao bằng cách tận dụng AWS Nitro Enclaves. Giờ đây khách hàng của chúng tôi có thể thiết lập và quản lý môi trường điện toán phân lập trong EC2 để xử lý và củng cố khối lượng công việc trên đám mây trong vài phút mà không phải viết lại mã hay tái cấu trúc ứng dụng. Phần mềm Anjuna Confidential Computing được xây dựng trên Nitro Enclaves, giảm bề mặt tấn công cho các ứng dụng xử lý dữ liệu bí mật và nhạy cảm như: thông tin nhận dạng cá nhân (PII), thuật toán độc quyền, ứng dụng điện toán nhiều bên (MPC), cơ sở dữ liệu và quản lý khóa/bí mật. AWS Nitro Enclaves cho phép phần mềm của Anjuna phục vụ khách hàng tốt hơn trong các lĩnh vực được quản lý chặt chẽ như dịch vụ tài chính, công nghệ tài chính, tiền điện tử, chính phủ, chăm sóc sức khỏe và nhà cung cấp SaaS”.

Ayal Yogev, Giám đốc điều hành kiêm Nhà sáng lập, Anjuna Security

"Cơ sở hạ tầng của trình xác nhận với độ bảo mật và mức độ sẵn sàng cao là yếu tố thiết yếu đối với các mạng tiền ảo bền vững (như Chuỗi Crypto.org). Cụ thể, việc ký kết các thông điệp giao thức đồng thuận là một khía cạnh quan trọng cần được bảo mật và củng cố. Trong cơ sở hạ tầng đám mây của chúng tôi, AWS Nitro Enclaves và AWS KMS giúp Crypto.com và các đối tác bên ngoài của chúng tôi dễ dàng thay đổi quy mô, triển khai và quản lý những quy trình ký kết này. AWS Nitro Enclaves đem lại khả năng củng cố và cách ly tiết kiệm chi phí để quản lý khóa bảo mật.”

Tomas Tauber, Trưởng bộ phận Chuỗi, Crypto.com

"Một trong những trường hợp sử dụng chính đối với cơ sở hạ tầng mã hóa của Evervault là bảo vệ và xử lý các thông tin có độ nhạy cảm cao như tài chính, chăm sóc y tế, danh tính và dữ liệu độc quyền. Cốt lõi của Evervault là Evervault Encryption Engine (E3), một công cụ thực hiện các hoạt động mã hóa và xử lý khóa mã hóa cho khách hàng của chúng tôi. E3 được xây dựng trên AWS Nitro Enclaves, tính năng cung cấp một môi trường điện toán biệt lập, được củng cố và hạn chế cao để xử lý dữ liệu nhạy cảm. Khi xây dựng E3 trên Nitro Enclaves, chúng tôi có thể cung cấp cả khả năng bảo mật thông qua chứng thực mã hóa và một nền tảng vững chắc cho tất cả các sản phẩm và dịch vụ khác của Evervault. Nhờ có Nitro Enclaves, chúng tôi có thể cung cấp dịch vụ có độ bảo mật cao, tiết kiệm chi phí và quy mô linh hoạt cho khách hàng của mình; dịch vụ có khả năng xử lý hàng nghìn hoạt động mã hóa trên một giây, mà không bị tính thêm phí.”

Shane Curran, Nhà sáng lập và Giám đốc điều hành, Evervault

"Sứ mệnh của Footprint là mang sự tin tưởng trở lại với Internet và ưu tiên hàng đầu của chúng tôi là đảm bảo rằng chúng tôi sử dụng kiến trúc vault tinh vi và mạnh mẽ nhất để lưu trữ, mã hóa và xử lý dữ liệu tài chính và cá nhân nhạy cảm cho khách hàng của chúng tôi và người dùng của họ. Để đạt được điều này, chúng tôi đã thiết kế kiến trúc và xây dựng cơ sở hạ tầng vault lõi của Footprint trên AWS Nitro Enclaves nhờ khả năng bảo mật tầm cỡ thế giới mà tính năng này mang lại: khả năng chạy mã được ký và chứng thực bằng mật mã trong một CPU, bộ nhớ và môi trường biệt lập với mạng để giảm đáng kể diện tích tấn công bề mặt và mang lại cho khách hàng của chúng tôi một nền tảng bảo mật vượt xa các phương pháp tiện cận thông thường hiện đang được các doanh nghiệp sử dụng.”

Alex Grinman, Nhà đồng sáng lập kiêm CTO của Footprint

"M10 Networks, Inc phát triển và triển khai Nền tảng sổ cái M10, một dịch vụ nhằm phát triển và phân phối tiền kỹ thuật số của ngân hàng trung ương cũng như các khoản nợ theo quy định được mã hóa ký thuật số, trên AWS. Nền tảng sổ cái sử dụng AWS Nitro Enclaves để thực hiện xác minh chữ ký và ký lại mã hóa các lô giao dịch. Sử dụng AWS Nitro Enclaves trên các phiên bản M6i mới nhất của AWS, M10 có thể cung cấp giải pháp hiệu năng cao và tiết kiệm chi phí cho thị trường tiền kỹ thuật số.”

Sascha Wise, Kỹ sư sáng lập M10