发布于: Oct 28, 2020
AWS Nitro Enclaves 是一项新的 EC2 功能,使客户能够创建隔离的计算环境 (Enclaves) 来进一步保护和安全地处理高度敏感的数据,例如其 Amazon EC2 实例中的个人身份信息 (PII)、医疗保健、金融和知识产权数据。Nitro Enclaves 可帮助客户减少他们用于处理最敏感数据的应用程序的攻击面。
如今,客户已经使用 Amazon EC2 处理范围广泛的高度敏感性数据。他们通过访问控制,静态和传输中加密来保护此数据。然而,在处理过程中,高度敏感性数据会解密。为了在处理过程中保护数据,客户通常会设置单独的 VPC、删除其实例上不必要的第三方软件、限制连接、限制用户访问等等。创建和管理这些隔离的队列可能需要大量操作资源,还可能很复杂。我们希望客户能够更轻松地完成此操作。
Enclaves 是独立的虚拟机,稳定且高度受限。它们没有持久性存储、交互式访问和外部联网。因此,即使您是实例上的根用户或管理员用户,您也不能访问或通过 SSH 连接到 Enclave。Nitro Enclaves 使用经过验证的 Nitro 管理程序隔离将 Enclave 的 CPU 和内存与父级实例上的用户、应用程序和库进一步隔离。与 Enclave 通信的唯一方式是通过与 Enclave 连接的父级实例中的本地套接字。利用此方式,您可以将您的 EC2 实例内的高度敏感性数据处理与您自己的内部管理员、开发人员和其他 EC2 实例隔离。
您可以通过 Nitro Enclaves 证明来验证 Enclave 的身份,以及 Enclave 中是否只有授权代码在运行。Nitro Enclaves 与 AWS Key Management Service 集成以准备和保护您的敏感性数据,以处理内部 Enclave。Enclaves 还可以与其他 Key Management Service 集成。
Nitro Enclaves 非常灵活,可以使用不同数量的计算资源进行创建,并且与任何编程语言或框架兼容。Nitro Enclaves 还与处理器无关,可以在 AWS Nitro 系统上构建的大多数基于 Intel 和 AMD 的 Amazon EC2 实例类型上使用。对基于 AWS Graviton2 的实例的支持即将推出。最后,由于 Nitro Enclaves 的很多组件是开源的,客户甚至可以自行检查并验证代码。
适用于 Nitro Enclaves 的 ACM 是一种参考 Enclave 应用程序,您可以通过该应用程序将 AWS Certificate Manager (ACM) 提供的公有和私有 SSL/TLS 证书与运行在带有 Nitro Enclaves 的 Amazon EC2 实例上的 Web 应用程序和服务器(例如 NGINX)结合使用。
除了与 Nitro Enclaves 和适用于 Nitro Enclaves 的 ACM 一起使用的 Amazon EC2 实例和任何其他 AWS 服务的使用费用之外,没有额外费用。Nitro Enclaves 现已在 AWS 美国东部(弗吉尼亚北部、俄亥俄)、美国西部(俄勒冈)、欧洲(法兰克福、爱尔兰、伦敦、巴黎、斯德哥尔摩)、亚太地区(香港、孟买、新加坡、悉尼、东京)和南美洲(圣保罗)区域推出,即将在更多区域推出。
要了解有关 AWS Nitro Enclaves 的更多信息及如何开始使用,请访问 AWS Nitro Enclaves 页面。