本週,Amazon Web Services Inc. (AWS) 宣布全面推出 AWS Nitro Enclaves。 AWS Nitro Enclaves 讓客戶可以輕鬆地在 Amazon Elastic Compute Cloud (Amazon EC2) 實例中創建隔離的計算環境,以保護他們高度敏感的工作負載。 Nitro Enclaves 使用相同的 Nitro Hypervisor 技術,為 EC2 實例提供 CPU 和內存隔離。
本週,Amazon Web Services Inc. (AWS) 宣布全面推出 AWS Nitro Enclaves。 AWS Nitro Enclaves 讓客戶可以輕鬆地在 Amazon Elastic Compute Cloud (Amazon EC2) 實例中創建隔離的計算環境,以保護他們高度敏感的工作負載。 Nitro Enclaves 使用相同的 Nitro Hypervisor 技術,為 EC2 實例提供 CPU 和內存隔離。
據亞馬遜稱,各行各業的許多客戶都要求在 AWS 雲上進一步保護他們高度敏感的數據,如個人身份信息、財務數據、醫療記錄、知識產權等。 他們目前的選擇是通過訪問控制來保護他們的數據,並在數據處於靜止和傳輸過程中時使用加密。 這種方法的問題在於,當數據在使用時未加密時,加密不會覆蓋數據。 為了在處理過程中保護未加密的數據,客戶通常會為安全數據設置單獨的實例集群,並配置有限連接、受限用戶訪問和其他嚴格隔離。 當 AWS 客戶這樣做時,他們需要防範內部和外部威脅。 他們需要處理涉及多個相互不信任的合作夥伴、供應商、客戶和員工的複雜情況。
AWS 通過推出 AWS Nitro Enclaves 來應對這一挑戰。 AWS Nitro Enclaves 通過為數據處理提供可信、高度隔離和強化的環境,幫助客戶減少其應用程序的攻擊面。 每個 Enclave 都是使用相同的 Nitro Hypervisor 技術創建的虛擬機,包括 Amazon EC2 實例的 CPU 和內存隔離,但沒有持久存儲、沒有管理員或操作員訪問權限,也沒有外部網絡。 在 Enclave 中運行的應用程序仍然無法被其他用戶和系統訪問,甚至是客戶組織內的用戶。
Nitro Enclaves 使用相同的 Nitro Hypervisor 技術在 EC2 實例之間創建 CPU 和內存隔離,從而在 Enclave 和 EC2 實例之間創建隔離。
客戶可以使用開源 AWS Nitro Enclaves SDK 庫集開發 Enclave 應用程序。 AWS Nitro Enclaves SDK 還集成了 AWS Key Management Service (KMS),允許客戶生成數據密鑰並在 Enclave 內對其進行解密。 Nitro Enclaves 還包括對客戶軟件的加密證明,以確保只有授權代碼在運行並與 AWS Key Management Service 集成,以便只有他們的 enclave 才能訪問敏感材料。
AWS 還宣布了適用於 Nitro Enclaves 的 ACM。 借助此解決方案,客戶可以快速隔離 Enclave 中的 SSL/TLS 證書,使其可供實例上的 Web 服務器使用,同時保護它們免受客戶環境中的其他用戶或應用程序的訪問。 SSL/TLS 證書用於保護網絡通信並通過 Internet 或專用網絡上的資源建立網站身份。 適用於 Nitro Enclaves 的 ACM 確保與這些證書關聯的敏感數據永遠不會離開 Enclave,同時還管理證書的吊銷和續訂,以減少證書過期時手動監控和網絡服務器重新配置的需要。
除了使用 Amazon EC2 實例和與 Nitro Enclaves 一起使用的任何其他 AWS 服務外,使用 AWS Nitro Enclaves 不收取額外費用。
可用性
AWS Nitro Enclaves 適用於基於 AWS Nitro 系統構建的大多數基於 Intel 和 AMD 的 Amazon EC2 實例類型(基於 AWS Graviton2 的實例支持將於 2021 年上半年推出)。
AWS Nitro Enclaves 現已在美國東部(弗吉尼亞北部)、美國東部(俄亥俄)、美國西部(俄勒岡)、歐洲(法蘭克福)、歐洲(愛爾蘭)、歐洲(倫敦)、歐洲(巴黎)、歐洲(斯德哥爾摩)、亞太地區(香港)、亞太地區(孟買)、亞太地區(新加坡)、亞太地區(悉尼)、亞太地區(東京)和南美洲(聖保羅)區域,即將推出更多區域。
參與 StorageReview
電子通訊 | YouTube | 播客 iTunes/Spotify | Instagram | Twitter | Facebook | RSS訂閱