AWS Nitro Enclaves

Tạo cách ly bổ sung để bảo vệ thêm cho dữ liệu rất nhạy cảm bên trong các phiên bản EC2

AWS Nitro Enclaves cho phép khách hàng tạo các môi trường điện toán cách ly để bảo vệ thêm và xử lý một cách bảo mật các dữ liệu rất nhạy cảm như thông tin nhận dạng cá nhân (PII), dữ liệu chăm sóc sức khỏe, tài chính và tài sản trí tuệ bên trong các phiên bản Amazon EC2 của họ. Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ cung cấp cách ly CPU và bộ nhớ cho các phiên bản EC2.

Nitro Enclaves giúp khách hàng giảm vùng bề mặt tấn công cho những ứng dụng xử lý dữ liệu các dữ liệu nhạy cảm nhất của họ. Phần tách rời cung cấp môi trường cách ly, được củng cố và hạn chế cao để lưu trữ các ứng dụng quan trọng với bảo mật. Nitro Enclaves bao gồm chứng nhận mật mã cho phần mềm của bạn để bạn có thể đảm bảo rằng chỉ mã được ủy quyền đang chạy, cùng tích hợp với AWS Key Management Service để đảm bảo chỉ phần tách rời của bạn có thể truy cập tài liệu nhạy cảm.

Bạn không mất thêm phí khi sử dụng AWS Nitro Enclaves ngoài việc sử dụng các phiên bản Amazon EC2 và bất kỳ dịch vụ AWS nào khác được dùng với Nitro Enclaves.

Tổng quan về AWS Nitro Enclaves
Nitro_Enclaves_Icon

Lợi ích

Cách ly và bảo mật bổ sung

Phần tách rời là các máy ảo được cách ly đầy đủ, được củng cố và hạn chế cao. Những phần này không có dung lượng lưu trữ lâu dài, không có quyền truy cập tương tác và không có mạng bên ngoài. Hoạt động liên lạc giữa phiên bản và phần tách rời của bạn được thực hiện thông qua một kênh cục bộ bảo mật. Ngay cả người dùng gốc hoặc người dùng quản trị trên phiên bản không thể truy cập hoặc SSH vào phần tách rời.

Nitro Enclaves sử dụng cách ly đã được chứng minh của Nitro Hypervisor để cách ly thêm CPU và bộ nhớ của phần tách rời khỏi người dùng, ứng dụng và thư viện trên phiên bản chính. Các tính năng này giúp cách ly phần tách rời với phần mềm của bạn và làm giảm đáng kể vùng bề mặt tấn công.

Chứng thực mã hóa

Chứng thực cho phép bạn xác minh danh tính của phần tách rời và chỉ mã được ủy quyền đang chạy trong phần tách rời. Quy trình chứng thực được thực hiện thông qua Nitro Hypervisor, tạo cho phần tách rời tài liệu chứng thực được ký để chứng minh danh tính của phần tách rời đó với bên khác hoặc dịch vụ khác. Tài liệu chứng thực chứa các chi tiết chính về phần tách rời, chẳng hạn như khóa công khai của phần tách rời, hàm băm của hình ảnh phần tách rời và ứng dụng, cùng nhiều nội dung khác. Nitro Enclaves bao gồm tích hợp AWS KMS, cụ thể là KMS có thể đọc và xác minh các tài liệu chứng thực được gửi từ phần tách rời này.

Linh hoạt

Nitro Enclaves linh hoạt. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Điều này đảm bảo bạn có để tài nguyên để chạy chính các ứng dụng thiên về điện toán hoặc bộ nhớ vốn đang chạy trên các phiên bản EC2 của bạn. Nitro Enclaves không phụ thuộc bộ xử lý và có thể được sử dụng trên nhiều phiên bản do các nhu cung cấp CPU khác nhau cung cấp. Chúng cũng tương thích với bất kỳ ngôn ngữ lập trình hoặc khung nào. Ngoài ra, vì nhiều thành phần của Nitro Enclaves là nguồn mở, nên khách hàng có thể kiểm tra mã và tự xác thực.

Cách thức hoạt động

Cách thức hoạt động của Nitro Enclaves

Hình 1: Nitro Enclaves Cách thức hoạt động Luồng quy trình

product-page-diargam_Nitro-Enclaves_Enclaves@2x

Hình 2: Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ tạo cách ly CPU và bộ nhớ trong các phiên bản EC2, để tạo cách ly giữa Enclave và phiên bản EC2.

product-page-diargam_Nitro-Enclaves_Equations@2x

Hình 3: Một phần tách rời được tạo ra bằng cách phân vùng CPU và bộ nhớ của phiên bản EC2, được gọi là phiên bản chính. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Phía trên là ví dụ sử dụng m5.4xlarge chia thành phiên bản chính (14 vCPU, bộ nhớ 32 GiB) và Phần tách rời (2 vCPU, bộ nhớ 32 GiB). Giao tiếp giữa phiên bản chính và phần tách rời được thực hiện qua kết nối cục bộ bảo mật được gọi là vsock.

Trường hợp sử dụng

Giữ bảo mật khóa riêng

Khách hàng giờ đây có thể cách ly và sử dụng khóa riêng (ví dụ: SSL/TLS) trong phần tách rời mà vẫn ngăn người dùng, ứng dụng và thư viện trên phiên bản chính xem những khóa đó. Thông thường, những khóa riêng này được lưu trữ trong phiên bản EC2 ở dạng văn bản thuần túy.

AWS Certificate Manager (ACM) dành cho Nitro Enclaves là một ứng dụng tách rời cho phép bạn sử dụng chứng chỉ SSL/TLS công khai và riêng với các máy chủ và ứng dụng web chạy trên phiên bản Amazon EC2 với AWS Nitro Enclaves.

Tokenization

Tokenization là một quy trình chuyển đổi dữ liệu có độ nhạy cảm cao như số thẻ tín dụng hoặc dữ liệu chăm sóc sức khỏe vào một token. Với Nitro Enclaves, khách hàng có thể chạy ứng dụng thực hiện chuyển đổi bên trong phần tách rời. Dữ liệu được mã hóa có thể được gửi tới phần tách rời, nơi dữ liệu được giải mã và xử lý. Phiên bản EC2 chính sẽ không thể xem hoặc truy cập vào dữ liệu nhạy cảm thông qua quy trình này.

Điện toán nhiều bên

Nhờ dùng khả năng chứng thực mã hóa của Nitro Enclaves, khách hàng có thể thiết lập điện toán nhiều bên, trong đó nhiều bên có thể tham gia và xử lý dữ liệu có tính nhạy cảm cao mà không cần tiết lộ hoặc chia sẻ dữ liệu thực cho từng bên. Điện toán nhiều bên cũng có thể được thực hiện trong cùng một tổ chức để thiết lập phân chia nhiệm vụ.