AWS Nitro Enclaves 专业2020年〜
在 EC2 实例内创建隔离执行环境,安全处理敏感数据的服务
它能做什么
AWS Nitro Enclaves 是一项在 EC2 实例内创建完全隔离的虚拟机(enclave)的服务。Enclave 没有持久存储、网络访问和交互式访问,与父实例的通信仅限于 vsock(虚拟套接字)。通过与 KMS 集成,实现仅在 enclave 内可解密的加密。
使用场景
用于个人身份信息(PII)处理、加密密钥的安全管理、金融交易数据处理、医疗数据分析和多方计算。
日常类比
可以比作银行的金库。金库(enclave)完全隔绝外部访问,内部的操作(数据处理)从外面看不到。进出金库(vsock)只有一条严格管理的通道。
什么是 Nitro Enclaves
AWS Nitro Enclaves 是一项实现机密计算(Confidential Computing)的服务。Enclave 通过分离父 EC2 实例的部分 CPU 和内存来创建,包括 AWS 管理员在内的任何人都无法访问 enclave 内的数据。通过加密证明(attestation)可以验证 enclave 未被篡改。
KMS 集成与证明
在 KMS 密钥策略中将 enclave 的 PCR(Platform Configuration Register)值指定为条件后,只有特定的 enclave 镜像才被允许解密。这样,加密数据只能在 enclave 内解密和处理,父实例或其他进程无法访问。通过证明文档可以对 enclave 的完整性进行密码学验证。 如需拓展 KMS 集成与证明方面的知识,可参考相关书籍(Amazon)。
开始使用
启动支持 Nitro Enclaves 的 EC2 实例(启动时启用 enclave),使用 Nitro CLI 构建 enclave 镜像(EIF)。将 EIF 作为 enclave 启动,通过 vsock 与父实例收发数据。
注意事项
- Nitro Enclaves 本身无额外费用,分配给 enclave 的 CPU 和内存从父实例中扣除
- Enclave 没有网络访问,外部 API 调用需要通过父实例中转
