AWS Nitro Enclaves

建立額外的隔離,進一步包含 EC2 執行個體內的高度敏感資料

為什麼選擇 AWS Nitro Enclaves?

AWS Nitro Enclaves 可讓客戶建立隔離的運算環境來進一步保護和安全處理高度敏感的資料,例如 Amazon EC2 執行個體內的個人身分識別資訊 (PII)、醫療保健、金融及智慧財產權資料。Nitro Enclaves 使用相同的 Nitro Hypervisor 技術,其可為 EC2 執行個體提供 CPU 和記憶體隔離。

Nitro Enclaves 可協助客戶減少其最敏感資料處理應用程式的攻擊面。Enclaves 提供隔離、強化以及高度受限的環境來主控安全性關鍵應用程式。Nitro Enclaves 包含適用於您軟體的加密證明,如此您可確保僅執行授權的程式碼,以及與 AWS Key Management Service 整合,這樣只有您的飛地可以存取機密材料。

除了使用 Amazon EC2 執行個體和與 Nitro Enclaves 一起使用的任何其他 AWS 服務外,使用 AWS Nitro Enclaves 無需支付額外費用。

優勢

飛地是完全隔離的虛擬機器,經過了強化並且受到嚴格限制。它們沒有持久性儲存,沒有互動存取,也沒有外部聯網。您的執行個體與飛地之間的通訊是透過安全的本機通道完成。執行個體上的 root 使用者或管理員使用者也將無法存取或透過 SSH 進入飛地。

Nitro Enclaves 使用久經考驗的 Nitro Hypervisor 隔離功能,進一步將飛地的 CPU 和記憶體與父執行個體上的使用者、應用程式和程式庫隔離。這些功能可協助隔離飛地和您的軟體,且可大幅減少攻擊面。

證明可讓您驗證飛地的身分以及飛地中僅執行授權的程式碼。證明程序是透過 Nitro Hypervisor 完成的,可針對飛地產生簽署的證明文件,以向其他方或服務證明其身分。證明文件包含飛地的關鍵詳細資料,例如飛地的公開金鑰、飛地影像和應用程式的雜湊等。Nitro Enclaves 包括 AWS KMS 整合,其中 KMS 能夠讀取和驗證從飛地傳送的這些證明文件。

Nitro Enclaves 非常靈活。您可以藉由 CPU 核心和記憶體的各種組合來建立飛地。這可確保您有足夠的資源,可執行與您已在現有 EC2 執行個體上執行相同的記憶體或運算密集型應用程式。Nitro Enclaves 適用於各種處理器,可以在由不同 CPU 供應商提供支援的執行個體中使用。它們還與任何程式設計語言或框架相容。此外,由於 Nitro Enclaves 的許多元件都開放原始碼,因客戶甚至可以自行檢查程式碼並驗證。

使用案例

客戶現在可以在飛地內隔離和使用私有金鑰 (例如 SSL/TLS),同時防止父執行個體上的使用者、應用程式和程式庫查看這些金鑰。通常,這些私有金鑰以純文字格式儲存在 EC2 執行個體上。

AWS Certificate Manager (ACM) for Nitro Enclaves 是一個飛地應用程式,讓您可以將公有和私有 SSL/TLS 證書用於在具有 AWS Nitro Enclaves 的 Amazon EC2 執行個體上執行的 Web 應用程式和伺服器。

字符化是將高度敏感的資料 (例如信用卡號或醫療資料) 轉換為字符的過程。借助 Nitro Enclaves,客戶可以飛地中執行能夠完成此轉換的應用程式。可以將加密的資料傳送到飛地,然後在飛地解密然並處理。在整個過程中,父 EC2 執行個體將無法檢視或存取敏感資料。

利用 Nitro Enclaves 的加密證明功能,客戶可以建立多方運算,其中多方可以加入並處理高度敏感的資料,而不必向每個單獨方公開或共享實際資料。多方運算也可以在同一組織內進行,以實現責任分離。

客戶案例