AWS ofrece a los clientes una forma aún más segura de proteger los datos confidenciales en la nube con un nuevo tipo de instancia EC2 que no tiene conectividad de red externa, almacenamiento persistente ni acceso de usuario.
Los clientes de industrias como servicios financieros, defensa, medios y entretenimiento y ciencias biológicas a menudo tratan con datos extremadamente sensibles en la nube de Amazon. Sin embargo, al hacer esto, deben protegerse contra amenazas internas y externas mientras enfrentan situaciones complejas que involucran a múltiples socios, proveedores, clientes y empleados.
Si bien los clientes actualmente usan AWS VPC (Virtual Private Cloud) para crear entornos aislados con conectividad controlada y limitada, la compañía les brinda otra opción para almacenar sus datos confidenciales con el lanzamiento de AWS Nitro Enclaves.
Enclaves de AWS Nitro
AWS Nitro Enclaves se puede utilizar para crear un entorno aislado en cualquier instancia EC2 alimentada por el sistema Nitro.
Si bien el sistema Nitro de la empresa ya aísla varias instancias EC2 que se ejecutan en el mismo hardware, Nitro Enclaves proporciona un aislamiento adicional a través de un kernel independiente y al particionar el procesador y la memoria de una única instancia EC2 "principal". La instancia principal de EC2 se conecta al enclave a través de un socket virtual, y este socket es la única forma de que los datos entren o salgan de un Nitro Enclave.
El evangelista jefe de AWS, Jeff Barr, explicó cómo estos nuevos enclaves seguros utilizan el hipervisor "Nitro" que AWS presentó en una publicación de blog de 2017, diciendo:
“El Nitro Hypervisor crea y luego firma un documento de certificación durante la creación de cada Nitro Enclave. El documento contiene (entre otras cosas) un conjunto de registros de configuración de plataforma (PCR) que proporcionan una medida criptográficamente sólida del proceso de arranque. Estos valores, cuando se asocian con una política de claves de KMS, se usan para verificar que la imagen, el sistema operativo, la aplicación, el rol de IAM y el ID de instancia esperados se usaron para crear el enclave. Una vez que KMS haya completado este paso de verificación, realizará la acción API deseada (desencriptar, generar una clave de datos o generar un valor aleatorio) solicitada por el código que se ejecuta en el enclave. "
Los enclaves ahora están disponibles en cualquier instancia EC2 que ejecute Nitro, y aunque los usuarios pueden crear un enclave a partir de una instancia EC2, AWS también planea admitir varios enclaves en el futuro.
A través del registro