来源:[db:来源] 时间:2022-09-08 18:31:30
原标题:AWS EC2添加隔离环境Nitro Enclaves
AWS推出可让用户处理机密资料的独立EC2环境AWS Nitro Enclaves,现在只要是由Nitro系统驱动的EC2执行个体,用户都可以启用Nitro Enclaves隔离环境,在飞地(Enclave)执行受验证的程式码。
AWS Nitro系统是一个丰富建构模块的集合,透过组装不同的模块,AWS能够搭配各种运算、储存、记忆体和网路等选项,灵活地设计出不同的EC2执行个体,像是M5、C5、R5和T3等满足不同类型的需求。
AWS提到,来自金融、国防和媒体等领域的用户,常需要在云端处理高敏感度的资料,除了需要抵御内外部的威胁之外,还需要与相互不信任的供应商、用户、员工和伙伴共同工作,这些单位需要使用VPC来创建高度隔离的环境,限制连接性,并仅让有限的使用者存取。
而AWS现在提供这些用例,更安全性的执行环境,虽然Nitro系统已经在同一个硬体中,对多个EC2执行个体进行隔离,但Nitro Enclaves更进一步,对单个父EC2执行个体,所使用的CPU和记忆体分区提供额外的隔离,并保护同一个执行个体上,不同用户和应用程式各自的敏感资料。
官方表示,经过证实,Nitro Enclaves提供了安全的环境,在父EC2执行个体上执行的程序、应用程式和使用者,皆无法存取自己以外的其他资料,而且Nitro Enclaves非常灵活,能够让用户完全控制分配给隔离环境的记忆体以及运算资源。
当用户启动EC2执行个体,系统便会创建一个飞地,供用户执行机密运算,AWS提到,未来他们还会在一个执行个体,支援多个飞地。用户可以使用,除了执行个体核心之外的所有核心以及记忆体,每个飞地都拥有一个独立的核心,能够独占记忆体和CPU支援,飞地无法使用外部网路,也没有持久性储存,且无用户存取权限,所有流入和流出飞地的资料,都需要透过本地端虚拟Socket连接。
Nitro管理系统会在创建Nitro Enclave时签署凭证文件,该文件内容可以用来验证映像档、作业系统、应用程式和执行个体ID等,用来创建飞地的要素,并避免非经验证的程式码在飞地中执行。目前用户已经可以在美东、美西、欧洲、亚太和南美等各地区,免费使用Nitro Enclaves功能,接下来除了会在更多地区上线之外,以Graviton处理器为基础的执行个体,也将会支援Nitro Enclaves功能。
相关推荐
猜你喜欢