Veröffentlicht am: Oct 28, 2020
AWS Nitro Enklaven ist eine neue EC2-Funktion, die es Kunden ermöglicht, isolierte Computerumgebungen (Enklaven) zu schaffen, um hochsensible Daten wie personenbezogene Daten (PII), Daten aus den Bereichen Gesundheit, Finanzen und geistiges Eigentum innerhalb ihrer Amazon EC2-Instances weiter zu schützen und sicher zu verarbeiten. Nitro Enclaves hilft Kunden, die Angriffsfläche für ihre sensibelsten Datenverarbeitungsanwendungen zu reduzieren.
Bereits heute nutzen Kunden Amazon EC2 zur Verarbeitung einer Vielzahl hochsensibler Daten. Sie schützen diese Daten mit Zugangskontrollen und Verschlüsselung, sowohl im Ruhezustand als auch während der Übertragung. Bei der Verarbeitung werden die hochsensiblen Daten jedoch entschlüsselt. Um Daten während der Verarbeitung zu schützen, richten Kunden oft separate VPCs ein, entfernen unnötige Software von Drittanbietern auf ihrer Instanz, schränken die Konnektivität ein, schränken den Benutzerzugang ein und vieles mehr. Die Schaffung und Verwaltung dieser isolierten Flotten kann erhebliche operative Ressourcen erfordern und auch komplex sein. Wir wollten dies für unsere Kunden einfacher machen.
Enklaven sind separate virtuelle Maschinen, die gehärtet und stark eingeschränkt sind. Sie haben keinen dauerhaften Speicher, keinen interaktiven Zugang und keine externe Vernetzung. Selbst wenn Sie also ein Root-Benutzer oder ein Admin-Benutzer auf der Instance sind, können Sie nicht auf die Enklave zugreifen oder SSH in die Enklave einbinden. Nitro Enklaven verwendet die bewährte Isolierung des Nitro-Hypervisor, um die CPU und den Speicher der Enklave weiter von Benutzern, Anwendungen und Bibliotheken auf der übergeordneten Instance zu isolieren. Die einzige Möglichkeit, mit der Enklave zu kommunizieren, ist über den lokalen Socket der an die Enklave angeschlossenen übergeordneten Instance. Damit sind Sie in der Lage, die Verarbeitung von hochsensiblen Daten innerhalb Ihrer EC2-Instanzces von Ihren eigenen internen Administratoren, Entwicklern und anderen EC2-Instances zu isolieren.
Die Nitro-Enklaven-Bescheinigung ermöglicht es Ihnen, die Identität der Enklave zu verifizieren und sicherzustellen, dass nur autorisierter Code in Ihrer Enklave läuft. Nitro Enklaven ist in den AWS Key Management Service integriert, um Ihre sensiblen Daten für die Verarbeitung innerhalb der Enklaven vorzubereiten und zu schützen. Enklaven können auch mit anderen Key Management Services integriert werden.
Nitro Enklaven ist flexibel und kann mit unterschiedlichen Mengen an Datenverarbeitungsressourcen erstellt werden und ist mit jeder Programmiersprache oder jedem Framework kompatibel. Nitro Enklaven ist ebenfalls prozessorunabhängig und ist auf den meisten Intel- und AMD-basierten Amazon EC2-Instance-Typen verfügbar, die auf dem AWS Nitro-System basieren. Die Unterstützung von AWS Graviton2-basierten Instances steht kurz bevor. Da viele Komponenten von Nitro Enklaven offener Herkunft sind, können Kunden den Code sogar selbst inspizieren und validieren.
ACM für Nitro-Enklaven ist eine Referenz-Enklaven-Anwendung, die es Ihnen ermöglicht, öffentliche und private SSL/TLS-Zertifikate von AWS Certificate Manager (ACM) mit Ihren Webanwendungen und Servern wie NGINX, die auf Amazon EC2-Instances mit Nitro-Enklaven laufen, zu verwenden.
Außer den Kosten für die Nutzung von Amazon EC2-Instances und anderen AWS-Services, die mit Nitro-Enklaven und mit ACM für Nitro-Enklaven genutzt werden, fallen keine weiteren Kosten an. Nitro-Enklaven steht heute in den AWS-Regionen USA Ost (Nord-Virginia, Ohio), USA West (Oregon), Europa (Frankfurt, Irland, London, Paris, Stockholm), Asien-Pazifik (Hongkong, Mumbai, Singapur, Sydney und Tokio) und Südamerika (São Paulo) zur Verfügung. Weitere Regionen werden in Kürze folgen.
Um mehr über die AWS Nitro-Enklaven und die ersten Schritte zu erfahren, besuchen Sie die Seite AWS Nitro-Enklaven.