AWS выпускает Nitro Enclaves, упрощая высокозащищенную обработку данных
Nitro Enclaves — это новая функция гипервизора AWS Nitro, которая управляет инстансами EC2. Это позволяет выделить отдельную изолированную среду, используемую для обработки высокозащищенных, часто зашифрованных данных.
Обработка данных в изолированной среде
Nitro Enclaves — это новая возможность EC2. Каждому анклаву нужен экземпляр EC2 в качестве родителя; вы можете думать об этом как о вложении, как диск EBS или карта-ускоритель.
Эти нитро-анклавы на самом деле невероятно безопасны. Они полностью изолированы — никто, даже вы, владелец или администратор, не можете получить к ним доступ или к любым запущенным на них процессам напрямую через SSH. У них нет внешней сети; только родитель может общаться с анклавом и только через сокеты локальной сети. Это означает, что родительский сервер может быть настроен для обработки зашифрованных данных без их попадания в область действия этого сервера.
Это работает следующим образом: на родительский экземпляр приходит запрос, которому нужно обработать некоторые конфиденциальные данные. Вместо того, чтобы обрабатывать его локально, он отправляется в Анклав. Хотя технически это отдельно, вы можете думать об этом как о специальной защищенной части родительского сервера. Анклав может получить ключ дешифрования от службы управления ключами AWS, расшифровать данные и отправить ответ после обработки.
Анклав создается путем «разделения ЦП и памяти экземпляра EC2». Если у вас есть машина с 16 ядрами и 64 ГБ, вы можете, например, выделить 4 ядра и 32 ГБ для анклава.
Несмотря на это, гипервизор Nitro накладывает те же ограничения на доступ к ЦП и памяти между родительским экземпляром и анклавом, что и между вашим экземпляром и чьим-либо еще на том же хосте. Единственное, что их связывает, — это локальное соединение vsock.
Здесь очень полезна интеграция со службой управления ключами AWS. KMS можно использовать для отслеживания, ротации и управления доступом к конфиденциальным ключам дешифрования. Эта интеграция использует «криптографическую аттестацию», что означает, что гипервизор Nitro создает подписанный документ аттестации для анклава, чтобы подтвердить свою личность для KMS. Это включает в себя хэш файла изображения, сертификат подписи файла изображения, хэш ядра Linux, роли IAM на родительском элементе и идентификатор родителя. Все должно совпадать с конфигурацией, иначе запрос к KMS не пройдет. Если вам интересно, в Nitro есть пример инструмента, который демонстрирует процесс криптографической аттестации.
Как использовать нитро-анклавы
Чтобы использовать их, вам нужно запустить экземпляр с включенной настройкой:
Затем вам нужно будет создать образ из Dockerfile и использовать CLI для создания анклава. Вы можете прочитать руководство по началу работы с AWS в их блоге или в их руководстве на YouTube, чтобы узнать больше.
После этого вам, вероятно, потребуется настроить аттестацию KMS, чтобы безопасно использовать ее с KMS.