AWS Nitro Enclaves のアイコン

AWS Nitro Enclaves Especializado2020年〜

Servicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma segura

Unos 2 min de lectura

Qué hace

AWS Nitro Enclaves es un servicio que crea máquinas virtuales completamente aisladas (enclaves) dentro de instancias EC2. Los enclaves no tienen almacenamiento persistente, ni acceso a red, ni acceso interactivo; la comunicación con la instancia principal se restringe únicamente a vsock (socket virtual). La integración con KMS permite cifrado que solo puede descifrarse dentro del enclave.

Casos de uso

Se utiliza para procesar información de identificación personal (PII), gestión segura de claves de cifrado, procesamiento de datos de transacciones financieras, análisis de datos médicos y computación multipartita.

Analogía cotidiana

Es como la bóveda de un banco. La bóveda (enclave) está completamente sellada del acceso externo, y el trabajo interno (procesamiento de datos) es invisible desde fuera. La entrada y salida (vsock) es a través de un único pasaje estrictamente controlado.

¿Qué son los Nitro Enclaves?

AWS Nitro Enclaves es un servicio que permite la computación confidencial. Un enclave se crea aislando una porción de la CPU y memoria de la instancia EC2 principal, y nadie, incluidos los administradores de AWS, puede acceder a los datos dentro del enclave. La atestación criptográfica verifica que el enclave no ha sido manipulado.

Integración con KMS y atestación

Al especificar valores PCR (Platform Configuration Register) del enclave como condiciones en las políticas de claves de KMS, el descifrado solo se permite para imágenes de enclave específicas. Esto garantiza que los datos cifrados se descifren y procesen únicamente dentro del enclave, inaccesibles para la instancia principal u otros procesos. Los documentos de atestación verifican criptográficamente la integridad del enclave. Para ampliar su conocimiento sobre la integración con KMS y la atestación, los libros relacionados en Amazon pueden ser útiles.

Primeros pasos

Lance una instancia EC2 habilitada para Nitro Enclaves (habilite los enclaves en el momento del lanzamiento) y construya una imagen de enclave (EIF) usando la CLI de Nitro. Inicie el EIF como un enclave y envíe/reciba datos desde la instancia principal a través de vsock.

Aspectos a tener en cuenta

  • No additional charges for Nitro Enclaves itself. CPU and memory allocated to the enclave are deducted from the parent instance
  • Enclaves have no network access, so external API calls must be made through the parent instance
共有するXB!

Servicios relacionados

Amazon EC2 iconoAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS KMS iconoAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS Certificate Manager iconoAWS Certificate ManagerUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Lambda iconoAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.La innovación de hardware del AWS Nitro System - El chip dedicado que cambió los paradigmas de virtualización y seguridadExplicamos la filosofía de diseño del Nitro System desarrollado por AWS, analizando cómo la eliminación del overhead de virtualización, el aislamiento de seguridad a nivel de hardware y el rendimiento bare-metal generan una ventaja competitiva sin igual.Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.

Más en esta categoría

AWS Auto Scaling iconoAWS Auto Scaling EssentialUn servicio que escala automáticamente EC2, ECS, DynamoDB y otros recursos según la demandaAWS Batch iconoAWS Batch SpecializedUn servicio administrado para programar y ejecutar eficientemente trabajos de computación por lotesAmazon EC2 iconoAmazon EC2 EsencialUn servicio de cómputo que proporciona servidores virtuales en la nubeAmazon EC2 Instance Connect iconoAmazon EC2 Instance Connect EspecializadoUn servicio para conectarse de forma segura a instancias EC2 sin distribuir previamente claves SSHAWS Elastic Beanstalk iconoAWS Elastic Beanstalk PopularUn servicio que automatiza el despliegue y las operaciones de aplicaciones con solo subir su códigoAmazon EVS iconoAmazon EVS NuevoUn servicio completamente administrado para ejecutar entornos VMware vSphere en AWSEC2 Image Builder iconoEC2 Image Builder EspecializadoServicio que automatiza la creación, prueba y distribución de AMIs personalizadasAWS Lambda iconoAWS Lambda EsencialServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos y servicios similares

Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.AWS Nitro EnclavesFunción que crea máquinas virtuales aisladas dentro de instancias EC2, procesando datos sensibles de forma segura mediante atestación criptográfica e integración con KMSCifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.