Publié le: Oct 28, 2020
AWS Nitro Enclaves est une nouvelle fonctionnalité EC2 qui permet aux clients de créer des environnements de calcul isolés (enclaves) pour mieux protéger et traiter en toute sécurité des données très sensibles telles que des informations d'identification personnelle, ainsi que des données médicales, financières et de propriété intellectuelle au sein de leurs instances Amazon EC2. Nitro Enclaves aide les clients à réduire la surface d'attaque pour leurs applications de traitement de données les plus sensibles.
Aujourd'hui, les clients utilisent déjà Amazon EC2 pour traiter un large éventail de données hautement sensibles. Ils protègent ces données à l'aide de contrôles d'accès et du chiffrement, à la fois au repos et en transit. Cependant, pendant le traitement, les données hautement sensibles sont déchiffrées. Généralement, pour protéger les données pendant le traitement, les clients définissent des VPC distincts, effacent les logiciels tiers superflus de leur instance, limitent la connectivité, restreignent l'accès utilisateur et plus encore. Créer et gérer ces parcs isolés peut nécessiter des ressources opérationnelles considérables et peut s'avérer complexe. Nous voulions rendre cette tâche plus facile pour nos clients.
Les enclaves sont des machines virtuelles séparées, renforcées et fortement limitées. Elles n'ont pas de stockage constant, d'accès interactif ni de réseau externe. C'est pourquoi même si vous êtes un utilisateur racine ou un administrateur de l'instance, vous n'aurez pas accès ni ne pourrez vous connecter via un protocole SSH à l'enclave. Nitro Enclaves utilise l'isolation éprouvée de l'Hyperviseur Nitro pour isoler encore davantage le CPU et la mémoire de l'enclave des utilisateurs, des applications et des bibliothèques sur l'instance parent. La seule façon de communiquer avec l'enclave est de passer par le socket local de l'instance parent attachée à l'enclave. Ainsi, vous pouvez isoler le traitement des données hautement sensibles dans vos instances EC2 à partir de vos propres administrateurs, développeurs et autres instances EC2 internes.
L'attestation Nitro Enclaves vous permet de vérifier l'identité de l'enclave et que seul le code autorisé est en cours d'exécution dans votre enclave. Nitro Enclaves est intégré à AWS Key Management Service pour préparer et protéger vos données sensibles pour le traitement dans les enclaves. Les enclaves peuvent également être intégrées à d'autres services Key Management Service.
Nitro Enclaves est flexible et peut être créé avec différentes quantités de ressources de calcul, et est compatible avec tout langage ou cadre de programmation. Nitro Enclaves est également agnostique au niveau du processeur et est disponible sur la plupart des types d'instance Amazon EC2 Intel et basées sur AMD, construites sur AWS Nitro System. La prise en charge des instances basées sur AWS Graviton2 sera bientôt disponible. Enfin, étant donné que de nombreux composants de Nitro Enclaves sont en open source, le client peut même inspecter le code et le valider lui-même.
ACM for Nitro Enclaves est une application d'enclaves de référence qui vous permet d'utiliser les certificats SSL/TLS publics et privés depuis AWS Certificate Manager (ACM) avec vos applications et serveurs Web tels que NCINX exécutés sur des instances Amazon EC2 avec Nitro Enclaves.
Son utilisation n'implique aucun coût supplémentaire autre que l'utilisation des instances Amazon EC2 et d'autres services AWS utilisés avec Nitro Enclaves et ACM for Nitro Enclaves. Nitro Enclaves est disponible aujourd'hui dans les régions AWS USA Est (Virginie du Nord, Ohio), USA Ouest (Oregon), Europe (Francfort, Irlande, Londres, Paris, Stockholm), Asie-Pacifique (Hong Kong, Mumbai, Singapour, Sydney, Tokyo) et Amérique du Sud (Sao Paulo). D'autres régions suivront bientôt.
Pour en savoir plus sur AWS Nitro Enclaves et comment démarrer, consultez la page AWS Nitro Enclaves.