AWS kündigt allgemeine Verfügbarkeit von Nitro Enclaves an

AWS Nitro Enclaves macht es Kunden leicht, isolierte Rechenumgebungen innerhalb von Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen zu erstellen, um ihre hochsensiblen Arbeitslasten noch besser zu schützen.

Unser Technologiepartner AWS kündigte die allgemeine Verfügbarkeit von AWS Nitro Enclaves an, einer neuen Amazon EC2-Fähigkeit, die es den Kunden erleichtert, hochsensible Daten sicher zu verarbeiten. AWS Nitro Enclaves hilft Kunden dabei, die Angriffsfläche für ihre Anwendungen zu reduzieren, indem es eine vertrauenswürdige, stark isolierte und gehärtete Umgebung für die Datenverarbeitung bereitstellt. Jede Enklave ist eine virtuelle Maschine, die mit derselben Nitro-Hypervisor-Technologie erstellt wurde, die eine CPU- und Speicherisolation für Amazon EC2-Instanzen bietet, jedoch ohne persistenten Speicher, ohne Administrator- oder Bedienerzugriff und ohne externe Vernetzung. Diese Isolierung bedeutet, dass Anwendungen, die in einer Enklave ausgeführt werden, für andere Benutzer und Systeme unzugänglich bleiben, selbst für Benutzer innerhalb der Organisation des Kunden. Mit dieser Isolierung kann der Besitzer einer AWS Nitro-Enklave starten und stoppen oder einer Enklave Ressourcen zuweisen, aber selbst der Besitzer kann nicht sehen, was innerhalb von AWS Nitro-Enklaven verarbeitet wird. AWS kündigte auch die Einführung des AWS Certificate Manager (ACM) für Nitro-Enklaven an, einer neuen Enklaven-Anwendung, die es Kunden erleichtert, Secure Sockets Layer/Transport Layer Security (SSL/TLS)-Zertifikate für ihre Webserver, die auf Amazon EC2 laufen, zu schützen und zu verwalten. Um mit Nitro Enclaves zu beginnen, besuchen Sie https://aws.amazon.com/ec2/nitro/nitro-enclaves/.

Viele Kunden aus allen Branchen haben um Hilfe gebeten, um ihre hochsensiblen Daten wie persönlich identifizierbare Informationen, Finanzdaten, Gesundheitsakten, geistiges Eigentum und mehr weiter zu schützen – auch vor internen Benutzern innerhalb ihrer eigenen Konten. Heute können Kunden ihre Daten mit Zugriffskontrollen und durch Verschlüsselung schützen, während sie sich in Ruhe befinden und unterwegs sind, aber die Verschlüsselung schützt die Daten nicht, wenn sie am Verwendungsort unverschlüsselt sind (z.B. muss ein Algorithmus für Empfehlungen im Gesundheitswesen Zugriff auf unverschlüsselte Patientendaten haben). Eine Lösung besteht darin, einen Großteil der Funktionalität zu entfernen, die eine Instanz für allgemeine Zwecke bietet (z.B. Vernetzung, die Möglichkeit, sich in eine Instanz einzuloggen, die Fähigkeit, Daten zu speichern und abzurufen, usw.), aber dadurch wird der Rest der Instanz weniger nützlich. Um unverschlüsselte Daten während der Verarbeitung zu schützen, richten Kunden oft separate Instanz-Cluster für sichere Daten ein, die mit begrenzter Konnektivität, eingeschränktem Benutzerzugriff und anderen strengen Isolierungen konfiguriert sind. Die Möglichkeit menschlicher Fehler bei der Einrichtung und Verwaltung solch komplexer kundenspezifischer Systeme kann jedoch zu Verfügbarkeitsproblemen oder Sicherheitsversehen führen, und die Verwaltung dieser zusätzlichen Instanzen ist eine operative Belastung, ein organisatorischer Engpass und teuer.

Bei AWS Nitro-Enklaven wählen Kunden einfach einen Instanztyp aus und entscheiden, wie viel CPU und Speicher sie der Enklave zuweisen möchten. AWS Nitro Enclaves bietet die Flexibilität, verschiedene Kombinationen von CPU-Kernen und Arbeitsspeicher zu partitionieren, so dass Kunden die Ressourcen an die Größe und Leistungsanforderungen ihrer Arbeitslasten anpassen können. Kunden können Enklave-Anwendungen mit dem Open Source AWS Nitro Enclaves SDK-Bibliothekssatz entwickeln. Das AWS Nitro Enclaves SDK lässt sich auch in den AWS Key Management Service (KMS) integrieren, so dass Kunden Datenschlüssel generieren und innerhalb der Enklave entschlüsseln können. Mit ACM for Nitro Enclaves können Kunden SSL/TLS-Zertifikate innerhalb einer Enklave einfach isolieren, so dass sie von Webservern auf der Instanz verwendet werden können, während sie gleichzeitig vor dem Zugriff anderer Benutzer oder Anwendungen in der Umgebung des Kunden geschützt sind. SSL/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet oder Ressourcen in privaten Netzwerken festzustellen. ACM for Nitro Enclaves stellt sicher, dass sensible Daten, die mit diesen Zertifikaten verbunden sind, die Enklave niemals verlassen, und verwaltet gleichzeitig den Widerruf und die Erneuerung von Zertifikaten, um die Notwendigkeit manueller Überwachung und Webserver-Rekonfigurationen bei Ablauf eines Zertifikats zu reduzieren.

„Kunden sagen uns oft, dass leistungsstarke eingebaute Schutzvorrichtungen wie das abgeschottete Sicherheitsmodell des Nitro-Systems einer der Hauptgründe dafür sind, dass sie AWS ihre Arbeitslasten anvertrauen“, sagte David Brown, Vizepräsident, Amazon EC2, bei AWS. „Nitro Enclaves baut auf denselben Sicherheits- und Isolierungsmodellen auf, die AWS für so viele Kunden getrennt haben, und bietet eine effizientere Methode zur sicheren Verarbeitung hochsensibler Daten. Dies bedeutet, dass die Kunden schneller bauen und innovieren können, und zwar auf eine Art und Weise, die immer noch die höchsten Sicherheitsstandards erfüllt.

AWS Nitro Enclaves ist für die Mehrzahl der Intel- und AMD-basierten Amazon EC2-Instanzentypen verfügbar, die auf dem AWS Nitro-System basieren (Unterstützung für AWS Graviton2-basierte Instanzen wird in der ersten Hälfte des Jahres 2021 verfügbar sein). AWS Nitro-Enklaven sind heute in den Regionen US-Ost (N. Virginia), US-Ost (Ohio), US-West (Oregon), Europa (Frankfurt), Europa (Irland), Europa (London), Europa (Paris), Europa (Stockholm), Asien-Pazifik (Hongkong), Asien-Pazifik (Mumbai), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio) und Südamerika (Sao Paulo) erhältlich, weitere Regionen werden in Kürze folgen.