AWS Nitro Enclaves

Tạo cách ly bổ sung để bảo vệ thêm cho dữ liệu rất nhạy cảm bên trong các phiên bản EC2

AWS Nitro Enclaves cho phép khách hàng tạo các môi trường điện toán cách ly để bảo vệ thêm và xử lý một cách bảo mật các dữ liệu rất nhạy cảm như thông tin nhận dạng cá nhân (PII), dữ liệu chăm sóc sức khỏe, tài chính và tài sản trí tuệ bên trong các phiên bản Amazon EC2 của họ. Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ cung cấp cách ly CPU và bộ nhớ cho các phiên bản EC2.

Nitro Enclaves giúp khách hàng giảm vùng bề mặt tấn công cho những ứng dụng xử lý dữ liệu các dữ liệu nhạy cảm nhất của họ. Phần tách rời cung cấp môi trường cách ly, được củng cố và hạn chế cao để lưu trữ các ứng dụng quan trọng với bảo mật. Nitro Enclaves bao gồm chứng nhận mật mã cho phần mềm của bạn để bạn có thể đảm bảo rằng chỉ mã được ủy quyền đang chạy, cùng tích hợp với AWS Key Management Service để đảm bảo chỉ phần tách rời của bạn có thể truy cập tài liệu nhạy cảm.

Bạn không mất thêm phí khi sử dụng AWS Nitro Enclaves ngoài việc sử dụng các phiên bản Amazon EC2 và bất kỳ dịch vụ AWS nào khác được dùng với Nitro Enclaves.

Giới thiệu về Nitro Enclaves
Tổng quan về AWS Nitro Enclaves

Lợi ích

Cách ly và bảo mật bổ sung

Phần tách rời là các máy ảo được cách ly đầy đủ, được củng cố và hạn chế cao. Những phần này không có dung lượng lưu trữ lâu dài, không có quyền truy cập tương tác và không có mạng bên ngoài. Hoạt động liên lạc giữa phiên bản và phần tách rời của bạn được thực hiện thông qua một kênh cục bộ bảo mật. Ngay cả người dùng gốc hoặc người dùng quản trị trên phiên bản không thể truy cập hoặc SSH vào phần tách rời.

Nitro Enclaves sử dụng cách ly đã được chứng minh của Nitro Hypervisor để cách ly thêm CPU và bộ nhớ của phần tách rời khỏi người dùng, ứng dụng và thư viện trên phiên bản chính. Các tính năng này giúp cách ly phần tách rời với phần mềm của bạn và làm giảm đáng kể vùng bề mặt tấn công.

Chứng thực mã hóa

Chứng thực cho phép bạn xác minh danh tính của phần tách rời và chỉ mã được ủy quyền đang chạy trong phần tách rời. Quy trình chứng thực được thực hiện thông qua Nitro Hypervisor, tạo cho phần tách rời tài liệu chứng thực được ký để chứng minh danh tính của phần tách rời đó với bên khác hoặc dịch vụ khác. Tài liệu chứng thực chứa các chi tiết chính về phần tách rời, chẳng hạn như khóa công khai của phần tách rời, hàm băm của hình ảnh phần tách rời và ứng dụng, cùng nhiều nội dung khác. Nitro Enclaves bao gồm tích hợp AWS KMS, cụ thể là KMS có thể đọc và xác minh các tài liệu chứng thực được gửi từ phần tách rời này.

Linh hoạt

Nitro Enclaves linh hoạt. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Điều này đảm bảo bạn có để tài nguyên để chạy chính các ứng dụng thiên về điện toán hoặc bộ nhớ vốn đang chạy trên các phiên bản EC2 của bạn. Nitro Enclaves không phụ thuộc bộ xử lý và có thể được sử dụng trên nhiều phiên bản do các nhu cung cấp CPU khác nhau cung cấp. Chúng cũng tương thích với bất kỳ ngôn ngữ lập trình hoặc khung nào. Ngoài ra, vì nhiều thành phần của Nitro Enclaves là nguồn mở, nên khách hàng có thể kiểm tra mã và tự xác thực.

Cách thức hoạt động

Cách thức hoạt động của Nitro Enclaves

Hình 1: Nitro Enclaves Cách thức hoạt động Luồng quy trình

product-page-diargam_Nitro-Enclaves_Enclaves@2x

Hình 2: Nitro Enclaves sử dụng Nitro Hypervisor, chính là công nghệ tạo cách ly CPU và bộ nhớ trong các phiên bản EC2, để tạo cách ly giữa Enclave và phiên bản EC2.

product-page-diargam_Nitro-Enclaves_Equations@2x

Hình 3: Một phần tách rời được tạo ra bằng cách phân vùng CPU và bộ nhớ của phiên bản EC2, được gọi là phiên bản chính. Bạn có thể tạo phần tách rời với các tổ hợp lõi CPU và bộ nhớ đa dạng. Phía trên là ví dụ sử dụng m5.4xlarge chia thành phiên bản chính (14 vCPU, bộ nhớ 32 GiB) và Phần tách rời (2 vCPU, bộ nhớ 32 GiB). Giao tiếp giữa phiên bản chính và phần tách rời được thực hiện qua kết nối cục bộ bảo mật được gọi là vsock.

Trường hợp sử dụng

Giữ bảo mật khóa riêng

Khách hàng giờ đây có thể cách ly và sử dụng khóa riêng (ví dụ: SSL/TLS) trong phần tách rời mà vẫn ngăn người dùng, ứng dụng và thư viện trên phiên bản chính xem những khóa đó. Thông thường, những khóa riêng này được lưu trữ trong phiên bản EC2 ở dạng văn bản thuần túy.

AWS Certificate Manager (ACM) dành cho Nitro Enclaves là một ứng dụng tách rời cho phép bạn sử dụng chứng chỉ SSL/TLS công khai và riêng với các máy chủ và ứng dụng web chạy trên phiên bản Amazon EC2 với AWS Nitro Enclaves.

Tokenization

Tokenization là một quy trình chuyển đổi dữ liệu có độ nhạy cảm cao như số thẻ tín dụng hoặc dữ liệu chăm sóc sức khỏe vào một token. Với Nitro Enclaves, khách hàng có thể chạy ứng dụng thực hiện chuyển đổi bên trong phần tách rời. Dữ liệu được mã hóa có thể được gửi tới phần tách rời, nơi dữ liệu được giải mã và xử lý. Phiên bản EC2 chính sẽ không thể xem hoặc truy cập vào dữ liệu nhạy cảm thông qua quy trình này.

Điện toán nhiều bên

Nhờ dùng khả năng chứng thực mã hóa của Nitro Enclaves, khách hàng có thể thiết lập điện toán nhiều bên, trong đó nhiều bên có thể tham gia và xử lý dữ liệu có tính nhạy cảm cao mà không cần tiết lộ hoặc chia sẻ dữ liệu thực cho từng bên. Điện toán nhiều bên cũng có thể được thực hiện trong cùng một tổ chức để thiết lập phân chia nhiệm vụ.

Câu chuyện của khách hàng

Anjuna Security
“Anjuna đổi mới cách thức sẵn sàng cho doanh nghiệp để bảo vệ tài sản có giá trị cao bằng cách tận dụng AWS Nitro Enclaves. Giờ đây khách hàng của chúng tôi có thể thiết lập và quản lý môi trường điện toán phân lập trong EC2 để xử lý và củng cố khối lượng công việc trên đám mây trong vài phút mà không phải viết lại mã hay tái cấu trúc ứng dụng. Anjuna Confidential Cloud Software được xây dựng trên Nitro Enclaves, giảm bề mặt tấn công cho các ứng dụng xử lý dữ liệu bí mật và nhạy cảm như: thông tin nhận dạng cá nhân (PII), thuật toán độc quyền, ứng dụng điện toán nhiều bên (MPC), cơ sở dữ liệu và quản lý khóa/bí mật. AWS Nitro Enclaves cho phép phần mềm của Anjuna phục vụ khách hàng tốt hơn trong các lĩnh vực được quản lý chặt chẽ như dịch vụ tài chính, công nghệ tài chính, tiền điện tử, chính phủ, chăm sóc sức khỏe và nhà cung cấp SaaS”.

Ayal Yogev, Giám đốc điều hành kiêm Nhà sáng lập, Anjuna Security

Crypto.com
"Cơ sở hạ tầng của trình xác nhận với độ bảo mật và mức độ sẵn sàng cao là yếu tố thiết yếu đối với các mạng tiền ảo bền vững (như Chuỗi Crypto.org). Cụ thể, việc ký kết các thông điệp giao thức đồng thuận là một khía cạnh quan trọng cần được bảo mật và củng cố. Trong cơ sở hạ tầng đám mây của chúng tôi, AWS Nitro Enclaves và AWS KMS giúp Crypto.com và các đối tác bên ngoài của chúng tôi dễ dàng thay đổi quy mô, triển khai và quản lý những quy trình ký kết này. AWS Nitro Enclaves đem lại khả năng củng cố và cách ly tiết kiệm chi phí để quản lý khóa bảo mật.”

Tomas Tauber, Trưởng bộ phận Chuỗi, Crypto.com

Evervault
"Một trong những trường hợp sử dụng chính đối với cơ sở hạ tầng mã hóa của Evervault là bảo vệ và xử lý các thông tin có độ nhạy cảm cao như tài chính, chăm sóc y tế, danh tính và dữ liệu độc quyền. Cốt lõi của Evervault là Evervault Encryption Engine (E3), một công cụ thực hiện các hoạt động mã hóa và xử lý khóa mã hóa cho khách hàng của chúng tôi. E3 được xây dựng trên AWS Nitro Enclaves, tính năng cung cấp một môi trường điện toán biệt lập, được củng cố và hạn chế cao để xử lý dữ liệu nhạy cảm. Khi xây dựng E3 trên Nitro Enclaves, chúng tôi có thể cung cấp cả khả năng bảo mật thông qua chứng thực mã hóa và một nền tảng vững chắc cho tất cả các sản phẩm và dịch vụ khác của Evervault. Nhờ có Nitro Enclaves, chúng tôi có thể cung cấp dịch vụ có độ bảo mật cao, tiết kiệm chi phí và quy mô linh hoạt cho khách hàng của mình; dịch vụ có khả năng xử lý hàng nghìn hoạt động mã hóa trên một giây, mà không bị tính thêm phí.”

Shane Curran, Người sáng lập và Giám đốc điều hành, Evervault