AWS offre aux clients un moyen encore plus sûr de protéger les données sensibles dans le cloud avec un nouveau type d’instance EC2 qui n’a pas de connectivité réseau externe, pas de stockage persistant et pas d’accès utilisateur.
Les clients des secteurs tels que les services financiers, la défense, les médias et le divertissement et les sciences de la vie traitent souvent des données extrêmement sensibles sur le cloud d’Amazon. Cependant, lorsqu’ils font cela, ils doivent se protéger contre les menaces internes et externes tout en faisant face à des situations complexes impliquant plusieurs partenaires, fournisseurs, clients et employés.
Alors que les clients utilisent actuellement AWS VPC (cloud privé virtuel) pour créer des environnements isolés avec une connectivité contrôlée et limitée, la société leur offre une autre option pour stocker leurs données sensibles avec le lancement d’AWS Nitro Enclaves.
Sommaire
Enclaves AWS Nitro
AWS Nitro Enclaves peut être utilisé pour créer un environnement isolé sur n’importe quelle instance EC2 alimentée par le système Nitro.
Alors que le système Nitro de la société isole déjà plusieurs instances EC2 exécutées sur le même matériel, Nitro Enclaves fournit une isolation supplémentaire via un noyau indépendant et en partitionnant le processeur et la mémoire d’une seule instance EC2 «parent». L’instance EC2 parent se connecte à l’enclave via un socket virtuel et ce socket est le seul moyen pour les données d’entrer ou de sortir d’un Nitro Enclave.
L’évangéliste en chef d’AWS, Jeff Barr, a expliqué comment ces nouvelles enclaves sécurisées utilisent l’hyperviseur «Nitro» qu’AWS a présenté en 2017 dans un article de blog, en disant:
«Le Nitro Hypervisor crée puis signe un document d’attestation lors de la création de chaque Nitro Enclave. Le document contient (entre autres), un ensemble de registres de configuration de plate-forme (PCR) qui fournissent une mesure cryptographiquement solide du processus de démarrage. Ces valeurs, lorsqu’elles sont associées à une stratégie de clé KMS, sont utilisées pour vérifier que l’image, le système d’exploitation, l’application, le rôle IAM et l’ID d’instance attendus ont été utilisés pour créer l’enclave. Une fois que KMS a effectué cette étape de vérification, il exécutera l’action API souhaitée (déchiffrer, générer une clé de données ou générer une valeur aléatoire) demandée par le code s’exécutant dans l’enclave. »
Les enclaves sont désormais disponibles sur toute instance EC2 qui exécute Nitro et, bien que les utilisateurs puissent créer une enclave à partir d’une instance EC2, AWS prévoit également de prendre en charge plusieurs enclaves à l’avenir.
Via le registre
