Seguridad

Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aislados

Explicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.

約 7 分で読めます

Descripción general de Nitro Enclaves

Nitro Enclaves es un servicio que crea un entorno de procesamiento aislado (enclave) dentro de una instancia EC2. El enclave tiene núcleos de CPU y memoria dedicados, completamente aislados del sistema operativo anfitrión, otros procesos e incluso los administradores. No tiene almacenamiento persistente ni interfaces de red, comunicándose con el anfitrión solo a través de vsock (socket virtual). Este diseño minimiza la superficie de ataque de forma que incluso si se compromete el acceso root de la instancia padre, los datos dentro del enclave permanecen inaccesibles. El aislamiento se basa en la separación a nivel de hardware proporcionada por el Nitro Hypervisor, ofreciendo una protección fundamentalmente diferente del aislamiento solo por software (contenedores, namespaces).

Integración con KMS y atestación

Al iniciar, el enclave genera un documento de atestación criptográfica que contiene valores PCR (Platform Configuration Register): PCR0 representa el hash de la imagen del enclave, PCR1 el hash del kernel y PCR2 el hash de la aplicación. La clave de condición de KMS kms:RecipientAttestation:PCR0 verifica el hash de imagen del enclave, proporcionando claves de descifrado solo a enclaves legítimos. El flujo concreto es: enviar PII cifrada al enclave vía vsock, llamar a la API KMS Decrypt desde dentro del enclave con el documento de atestación adjunto, KMS verifica los valores PCR y devuelve la clave en texto plano, y el enclave descifra y procesa los datos, devolviendo solo los resultados al anfitrión. Esto asegura que el PII en texto plano nunca se exponga al sistema operativo anfitrión.

Casos de uso y desarrollo

Los principales casos de uso de Nitro Enclaves incluyen la tokenización de PII (por ejemplo, enmascaramiento de números de tarjeta de crédito), uso seguro de claves criptográficas y certificados (firma dentro del enclave), computación multipartita (múltiples organizaciones computando conjuntamente sin revelar datos entre sí) y verificación de claves de licencia DRM. En la industria financiera, hay casos de uso donde el PAN (Primary Account Number) se descifra dentro del enclave durante el procesamiento de pagos para reducir el alcance de PCI DSS. El desarrollo usa Nitro CLI para construir archivos de imagen de enclave (EIF) desde imágenes Docker y los lanza con el comando nitro-cli run-enclave. La comunicación entre la instancia padre y el enclave usa vsock, y el diseño del protocolo es responsabilidad de la aplicación. El modo debug permite inspeccionar la salida de consola, pero los despliegues en producción deshabilitan el modo debug para mantener el aislamiento completo. Para aprender sobre computación confidencial y seguridad de datos, libros relacionados (Amazon) son útiles como referencia.

Mejores prácticas de diseño y errores comunes

Hay varias consideraciones importantes para el diseño de enclaves. Primero, dado que los enclaves no tienen almacenamiento persistente, los resultados del procesamiento deben devolverse a la instancia padre vía vsock o escribirse externamente de forma cifrada. Establezca firmemente el principio de nunca exponer datos en texto plano fuera del enclave en la fase de diseño. Segundo, la CPU y memoria asignadas al enclave se deducen de la instancia padre, así que incluya los recursos del enclave al dimensionar la instancia padre. Tercero, el rendimiento de vsock tiene límites, requiriendo diseños de lotes o streaming para grandes transferencias de datos. Cuarto, depurar aplicaciones dentro de enclaves es difícil sin habilitar el modo debug. Una estrategia de pruebas en dos etapas es efectiva: verificar la lógica en contenedores Docker localmente y probar solo las cuestiones específicas del enclave (comunicación vsock, atestación) en el entorno del enclave.

Comparación con otros métodos de procesamiento confidencial

Existen múltiples enfoques para el procesamiento de datos sensibles. CloudHSM protege el almacenamiento y las operaciones de claves criptográficas en hardware pero no puede ejecutar lógica de procesamiento de datos de propósito general. El cifrado del lado del servidor de KMS protege eficazmente los datos en reposo, pero se requiere descifrado para el procesamiento, lo que significa que existe texto plano en memoria durante el procesamiento. Nitro Enclaves aborda de forma única este desafío de 'protección de datos en uso'. El aislamiento por namespace de contenedores o procesos comparte el kernel y puede ser vulnerado a través de vulnerabilidades del kernel, mientras que Nitro Enclaves está protegido a nivel del Nitro Hypervisor. Comparado con la computación confidencial basada en CPU como Intel SGX o AMD SEV, Nitro Enclaves usa el hipervisor como base de confianza, haciéndolo menos susceptible a ataques de canal lateral específicos de la CPU. El patrón de uso básico es: Nitro Enclaves para procesamiento de propósito general, CloudHSM solo para gestión de claves.

Precios de Nitro Enclaves

Nitro Enclaves no tiene cargos adicionales. El costo proviene de dividir vCPU y memoria de la instancia padre para asignar al enclave, por lo que es necesario dimensionar apropiadamente la instancia padre. Si asigna 2 vCPU y 4 GB de memoria al enclave, los recursos disponibles de la instancia padre se reducen proporcionalmente. Las solicitudes KMS con atestación se cobran a la tarifa estándar de KMS. Nitro Enclaves está disponible en instancias basadas en Nitro (C5, M5, R5 y posteriores), con requisitos mínimos de 2 vCPU y 256 MB de memoria para el enclave.

Resumen

Nitro Enclaves es un servicio para procesar de forma segura datos sensibles en un entorno completamente aislado respaldado por el Nitro Hypervisor. La atestación de KMS verifica los valores PCR asegurando que solo enclaves legítimos accedan a las claves de cifrado, permitiendo la tokenización de PII y el uso seguro de claves criptográficas. La configuración mínima sin almacenamiento persistente ni red minimiza la superficie de ataque, abordando el desafío de protección de datos en uso que el cifrado tradicional del lado del servidor no puede resolver.

Servicios relacionados

AWS Nitro EnclavesServicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma seguraAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nube

Artículos relacionados

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Cifrado de Amazon EBS y compartición de snapshots - Diseño entre cuentas y entre regionesPresentamos de forma integral desde la habilitación del cifrado por defecto hasta la compartición de snapshots entre cuentas y el diseño de DR mediante copia entre regiones.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS Nitro EnclavesFunción que crea máquinas virtuales aisladas dentro de instancias EC2, procesando datos sensibles de forma segura mediante atestación criptográfica e integración con KMSComputación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.