Cloud-Daten isolieren und absichern: AWS stellt Nitro Enclaves bereit

Amazon hat eine neue Security-Funktion vorgestellt: Mit AWS Nitro Enclaves können Anwender sensible Daten in Amazon-EC2-Instanzen besser schützen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: wk1003mike/Shutterstock.com)

Von
  • Nicole Bechtel

AWS hat die Verfügbarkeit der neuen Nitro Enclaves bekannt gegeben. Mit ihnen lassen sich isolierte Umgebungen auf den auf der Nitro-System-Plattform laufenden EC2-Instanzen erstellen. Das Nitro System isoliert zwar bereits mehrere auf derselben Hardware ausgeführte EC2-Instanzen, doch die Nitro Enclaves bietet eine zusätzliche Isolation durch die Partitionierung der CPU und des Speichers einer einzelnen "übergeordneten" EC2-Instanz. Damit sind hochsensible Daten vor anderen Benutzern oder Anwendungen, die auf derselben Instanz ausgeführt werden, geschützt.

AWS kommt dabei Kunden aus Branchen wie Finanzdienstleistung, Biowissenschaften, Medien und Verteidigung entgegen, die hochsensible Daten in der AWS Cloud betreiben. Diese gilt es, vor internen und externen Bedrohungen zu schützen. Bisher nutzten solche Kunden Amazon VPC, um isolierte Umgebungen zu erstellen, auf die nur ausgewählte Benutzer zugreifen können.

Zunächst stellt AWS die Option für eine Enklave pro EC2-Instanz bereit, weitere sollen folgen. Unter der Haube sind Enklaven an EC2-Instanzen angehängte virtuelle Maschinen. Sie sind nicht über externe Netzwerke verbunden, die Datenübertragung erfolgt über eine lokale virtuelle Socket-Verbindung (vsock), die auf der EC2-Instanz endet. Jede Enklave betreibt einen unabhängigen Kernel und greift exklusiv auf Speicher- und CPU-Ressourcen zu.

Der Nitro Hypervisor erzeugt zu jeder erstellten Enklave ein signiertes Attestat, das Platform Configuration Registers (PCRs) enthält. Diese ermöglichen einen kryptografisch abgesicherten Boot-Vorgang. Sind die Werte an eine KMS Key Policy gekoppelt, prüft die Software, ob alle erwarteten Komponenten – Image, Betriebssystem, IAM-Rolle, Instanz-ID, Anwendung – im Einsatz sind. KMS führt dann die API-Aktion aus, die der in der Enklave ausgeführte Code angefordert hat.

Nitro Enclaves stehen Anwendern ab sofort auf Systemen mit Intel und AMD-Prozessoren in mehreren Regionen der USA, Asiens, Europa, Australiens und Südamerikas zur Verfügung. Eine Anleitung für den Einsatz von Nitro Enclaves findet sich auf dem AWS News Blog. Das Nitro System hatte der Provider 2018 eingeführt.

(nb)