Seguridad

Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro Enclaves

Explicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.

約 4 分で読めます

Necesidad de la computación confidencial

En los modelos de seguridad tradicionales, la protección de datos se ha logrado mediante cifrado en reposo (at rest) y en tránsito (in transit). Sin embargo, al procesar datos es necesario descifrarlos y expandirlos en memoria, y estos "datos en procesamiento" se convierten en objetivo de ataques. Existe el riesgo de fuga de datos en procesamiento debido a vulnerabilidades del SO o hipervisor, volcados de memoria y ataques de canal lateral. Las instancias EC2 basadas en Nitro proporcionan aislamiento a nivel de hardware, pero Nitro Enclaves va más allá al crear un entorno de ejecución completamente aislado dentro de la instancia.

Mecanismo de Enclave y atestación

Un Enclave se crea dividiendo parte de los vCPU (hasta la mitad del padre) y la memoria de la instancia EC2 padre. La comunicación con la instancia padre se limita solo a vsock (socket virtual), y no se puede usar red TCP/IP. Las aplicaciones se despliegan en el Enclave como imágenes Docker y se inician con Nitro CLI. La atestación criptográfica (Attestation) es un mecanismo para verificar que el código que se ejecuta dentro del Enclave no ha sido manipulado. Al iniciar el Enclave, el Nitro Hypervisor genera un documento de atestación que contiene las mediciones (valores hash) del Enclave. Los servicios externos pueden verificar este documento de atestación para confirmar que el Enclave está ejecutando el código esperado.

Casos de uso e integración con KMS

Los principales casos de uso de Nitro Enclaves son el procesamiento de PII (información personal identificable). Procese datos médicos, datos financieros e información de identificación personal dentro del Enclave y devuelva solo los resultados agregados a la instancia padre, eliminando el riesgo de fuga de datos sin procesar. Para la gestión de claves criptográficas, genere y use claves criptográficas dentro del Enclave como alternativa a CloudHSM, asegurando que las claves no salgan del Enclave. La integración con KMS permite que KMS verifique el documento de atestación del Enclave y entregue claves de datos solo a Enclaves verificados, logrando un flujo de descifrado de datos de extremo a extremo.

Precios de Nitro Enclaves

Nitro Enclaves no tiene cargos adicionales. El costo es que los recursos de la instancia padre se reducen por la cantidad de vCPU y memoria asignados al Enclave. Por ejemplo, con m5.2xlarge (8 vCPU, 32 GB) asignando 2 vCPU y 8 GB al Enclave, la instancia padre opera con 6 vCPU y 24 GB. Puede ser necesario seleccionar una instancia más grande para el Enclave, pero no hay cargos por el servicio Enclave en sí. Comparado con CloudHSM (aproximadamente 1.50 USD/hora), es una opción significativamente más económica para la gestión de claves criptográficas.

Resumen - Directrices de uso de Nitro Enclaves

AWS Nitro Enclaves es un servicio de computación confidencial que aísla y protege completamente los datos en procesamiento. Sus principales fortalezas son el aislamiento mediante Nitro Hypervisor, la atestación criptográfica y la protección de claves criptográficas mediante integración con KMS. Es adecuado para casos de uso donde la protección de datos en procesamiento es requerida por regulaciones o políticas de seguridad, como procesamiento de PII, gestión de claves criptográficas y computación multipartita. Disponible sin cargos adicionales, se puede introducir en aplicaciones existentes con cambios mínimos.

Servicios relacionados

AWS Nitro EnclavesServicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma seguraAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datos

Artículos relacionados

Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Protección de privacidad de datos - Detección automática de datos confidenciales y defensa contra amenazas con Amazon Macie y GuardDutyDetección automática de datos confidenciales en S3 con Amazon Macie e inteligencia de amenazas con Amazon GuardDuty para protección integral de privacidad de datos. Desde identificación de información personal hasta detección de amenazas en tiempo real.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.AWS Nitro EnclavesFunción que crea máquinas virtuales aisladas dentro de instancias EC2, procesando datos sensibles de forma segura mediante atestación criptográfica e integración con KMSCifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.