安全

机密计算 - 使用 AWS Nitro Enclaves 隔离保护处理中的数据

详解使用 AWS Nitro Enclaves 进行机密数据的隔离处理。介绍加密证明、KMS 集成以及 PII 处理和加密密钥管理的用例。

約 1 分で読めます

机密计算的必要性

传统安全模型通过静态加密(at rest)和传输加密(in transit)实现数据保护。然而,处理数据时需要解密并展开到内存中,这些"处理中的数据"成为攻击目标。OS 或虚拟机管理程序的漏洞、内存转储、侧信道攻击等都可能导致处理中的数据泄露。基于 Nitro 的 EC2 实例通过 Nitro Enclaves 提供隔离的执行环境,即使 EC2 实例的 root 用户也无法访问 Enclave 内的内存和进程。这实现了"处理中数据"的保护,补全了数据保护的三个阶段。

Enclave 的机制与证明

Enclave 通过分割父 EC2 实例的 vCPU(最多为父实例的一半)和部分内存来创建。与父实例的通信仅限于 vsock(虚拟套接字),不能使用 TCP/IP 网络。应用程序以 Docker 镜像形式部署到 Enclave,通过 Nitro CLI 启动。加密证明(Attestation)是 Enclave 向外部证明其代码和配置未被篡改的机制。Enclave 启动时 Nitro Hypervisor 生成包含 PCR(Platform Configuration Register)值的证明文档,KMS 可验证此文档,仅在 PCR 值匹配时才允许解密操作。

用例与 KMS 集成

Nitro Enclaves 的主要用例是 PII(个人信息)处理。在 Enclave 内处理医疗数据、金融数据和个人识别信息,仅将汇总结果返回给父实例,从而消除原始数据泄露风险。在加密密钥管理中,作为 CloudHSM 的替代方案,在 Enclave 内生成和使用加密密钥,确保密钥不会离开 Enclave。与 KMS 集成时,KMS 密钥策略中指定 Enclave 的 PCR 值作为条件,仅允许特定 Enclave 执行解密操作。这确保即使父实例被入侵,也无法在 Enclave 外解密数据。 关于机密计算的详细信息,可参考Amazon 的相关书籍

Nitro Enclaves 的费用

Nitro Enclaves 本身不产生额外费用。成本在于分配给 Enclave 的 vCPU 和内存会减少父实例的资源。例如在 m5.2xlarge(8 vCPU,32 GB)上为 Enclave 分配 2 vCPU 和 8 GB,父实例将以 6 vCPU 和 24 GB 运行。为 Enclave 选择较大实例时需要考虑这一点,但由于不需要额外的许可证或服务费用,总体成本影响有限。

总结 - Nitro Enclaves 的活用指南

AWS Nitro Enclaves 是完全隔离保护处理中数据的机密计算服务。Nitro Hypervisor 的隔离、加密证明和通过 KMS 集成的加密密钥保护是其主要优势。适用于 PII 处理、加密密钥管理、多方计算等需要保护处理中数据的合规和安全策略用例。无需额外费用即可使用,可在现有 EC2 工作负载中轻松引入。

相关服务

AWS Nitro Enclaves在 EC2 实例内创建隔离执行环境,安全处理敏感数据的服务Amazon EC2在云端提供虚拟服务器的计算服务AWS KMS安全创建和管理数据加密密钥的托管加密密钥服务

相关文章

硬件安全模块 - 通过 AWS CloudHSM 实现加密密钥的专有管理解析如何使用 AWS CloudHSM 进行加密密钥的专有管理。介绍与 KMS 的选型对比、FIPS 140-2 Level 3 合规、TLS 卸载、Oracle TDE 集成等高级用例。数据隐私保护 - 通过 Amazon Macie 和 GuardDuty 实现敏感数据自动发现与威胁防御解说结合 Amazon Macie 的 S3 敏感数据自动发现与 Amazon GuardDuty 的威胁情报实现数据隐私保护的实践方法。介绍从个人信息识别到实时威胁检测的全面安全对策。使用 AWS Nitro Enclaves 实现机密数据处理 - 隔离环境中的加密与认证在 Nitro Enclaves 的隔离环境中处理机密数据,通过与 KMS 的集成和证明机制控制加密密钥的访问。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

AWS Nitro Enclaves在 EC2 实例内创建隔离的虚拟机,通过加密证明(Attestation)和 KMS 集成安全处理敏感数据的功能使用 AWS Nitro Enclaves 实现机密数据处理 - 隔离环境中的加密与认证在 Nitro Enclaves 的隔离环境中处理机密数据,通过与 KMS 的集成和证明机制控制加密密钥的访问。AWS 加密与数据主权 - 从 KMS 到 Nitro Enclaves 实现硬件级隔离解析 AWS KMS、CloudHSM、Nitro Enclaves 实现的硬件级加密与数据主权保障,并与其他云服务商的设计差异进行比较。Nitro System 改变 EC2 的历史 - 从 Xen 到 KVM,将虚拟化开销降至接近零的革命解析 EC2 从 Xen 虚拟化管理程序迁移到 Nitro System 的技术背景、Nitro 卡·Nitro 虚拟化管理程序·Nitro Enclaves 的三层架构,以及实现裸机级性能的设计理念。