Nitro Enclaves est une nouvelle fonctionnalité de Nitro Hypervisor d'AWS qui gère les instances EC2. Il vous permet de provisionner un environnement séparé et isolé utilisé pour le traitement de données hautement sécurisées, souvent cryptées.

Traitement des données dans un environnement isolé

Nitro Enclaves est une nouvelle capacité d'EC2. Chaque Enclave a besoin d'une instance EC2 comme parent; vous pouvez le considérer comme une pièce jointe, comme un lecteur EBS ou une carte d'accélérateur.

Ces enclaves Nitro sont en fait incroyablement sécurise. Ils sont entièrement isolés: personne, ni même vous, ni le propriétaire, ni l’administrateur ne peut y accéder ni aux processus qui s’exécutent sur eux directement via SSH. Ils n'ont pas de réseau externe; seul le parent peut parler à l'enclave, et uniquement sur les sockets du réseau local. Cela signifie que le serveur parent peut être configuré pour gérer les données chiffrées sans qu'il n'entre jamais dans la portée de ce serveur.

Cela fonctionne comme ceci: une requête arrive à l'instance parente qui doit gérer certaines données sensibles. Plutôt que de le traiter localement, il est envoyé à l'Enclave. Bien que techniquement séparé, vous pouvez le considérer comme une partie protégée spéciale du serveur parent. L'enclave peut récupérer une clé de déchiffrement à partir du service de gestion de clés d'AWS, déchiffrer les données et envoyer une réponse après le traitement.

Une enclave est créée en «partitionnant le processeur et la mémoire d'une instance EC2». Si vous disposez d'une machine 16 cœurs de 64 Go, vous pouvez par exemple dédier 4 cœurs et 32 ​​Go à l'enclave.

Malgré cela, Nitro Hypervisor met en place les mêmes restrictions d'accès au processeur et à la mémoire entre une instance parent et une enclave qu'entre votre instance et quelqu'un d'autre sur le même hôte. La seule chose qui relie les deux est une connexion vsock locale.

le intégration avec le service de gestion de clés d'AWS est très utile ici. KMS peut être utilisé pour suivre, faire pivoter et gérer l'accès aux clés de déchiffrement sensibles. Cette intégration utilise une «attestation cryptographique», ce qui signifie que Nitro Hypervisor produit un document d'attestation signé pour l'enclave afin de prouver son identité à KMS. Cela inclut un hachage du fichier image, un certificat de signature de fichier image, un hachage du noyau Linux, des rôles IAM sur le parent et l'ID du parent. Tous doivent correspondre à la configuration, sinon la demande à KMS ne sera pas acceptée. Si vous êtes intéressé, il y a un exemple d'outil fourni avec Nitro qui démontre le processus d'attestation cryptographique.

Comment utiliser les enclaves Nitro

Pour les utiliser, vous devez lancer une instance avec le paramètre activé:

Vous devrez ensuite créer l'image à partir d'un Dockerfile et utiliser la CLI pour créer l'enclave. Vous pouvez lire AWS Guide de Démarrage de leur blog ou de leur Tutoriel YouTube pour apprendre plus.

Après cela, vous devrez probablement configurer l'attestation KMS pour l'utiliser avec KMS en toute sécurité.