AWS推出可让用户处理机密资料的独立EC2环境AWS Nitro Enclaves,现在只要是由Nitro系统驱动的EC2执行实例,用户都可以激活Nitro Enclaves隔离环境,在飞地(Enclave)执行受验证的程序代码。
AWS Nitro系统是一个丰富构建模块的集合,通过组装不同的模块,AWS能够搭配各种运算、存储、内存和网络等选项,灵活地设计出不同的EC2执行实例,像是M5、C5、R5和T3等满足不同类型的需求。
AWS提到,来自金融、国防和媒体等领域的用户,常需要在云计算处理高敏感度的资料,除了需要抵御内外部的威胁之外,还需要与相互不信任的供应商、用户、员工和伙伴共同工作,这些单位需要使用VPC来创建高度隔离的环境,限制连接性,并仅让有限的用户访问。
而AWS现在提供这些用例,更安全性的执行环境,虽然Nitro系统已经在同一个硬件中,对多个EC2执行实例进行隔离,但Nitro Enclaves更进一步,对单个父EC2执行实例,所使用的CPU和内存分区提供额外的隔离,并保护同一个执行实例上,不同用户和应用程序各自的敏感资料。
官方表示,经过证实,Nitro Enclaves提供了安全的环境,在父EC2执行实例上执行的程序、应用程序和用户,皆无法访问自己以外的其他资料,而且Nitro Enclaves非常灵活,能够让用户完全控制分配给隔离环境的内存以及计算资源。
当用户启动EC2执行实例,系统便会创建一个飞地,供用户执行机密运算,AWS提到,未来他们还会在一个执行实例,支持多个飞地。用户可以使用,除了执行实例核心之外的所有核心以及内存,每个飞地都拥有一个独立的核心,能够独占内存和CPU支持,飞地无法使用外部网络,也没有持久性存储,且无用户访问权限,所有流入和流出飞地的资料,都需要通过本地端虚拟Socket连接。
Nitro管理系统会在创建Nitro Enclave时签署凭证文件,该文件内容可以用来验证镜像文件、操作系统、应用程序和执行实例ID等,用来创建飞地的要素,并避免非经验证的程序代码在飞地中执行。目前用户已经可以在美东、美西、欧洲、亚太和南美等各地区,免费使用Nitro Enclaves功能,接下来除了会在更多地区上线之外,以Graviton处理器为基础的执行实例,也将会支持Nitro Enclaves功能。