AWS offre aux clients un moyen encore plus sécurisé de protéger les données sensibles dans le cloud avec un nouveau type d'instance EC2 qui n'a pas de connectivité réseau externe, de stockage persistant ou d'accès utilisateur. Les clients de secteurs tels que les services financiers, la défense, les médias et le divertissement, et les sciences de la vie traitent souvent des données extrêmement sensibles dans le cloud d'Amazon. Cependant, ce faisant, ils doivent se prémunir contre les menaces internes et externes tout en faisant face à des situations complexes impliquant de multiples partenaires, fournisseurs, clients et employés. Alors que les clients utilisent actuellement AWS VPC (Virtual Private Cloud) pour créer des environnements isolés avec une connectivité contrôlée et limitée, l'entreprise leur offre une autre option pour stocker leurs données sensibles avec le lancement d'AWS Nitro Enclaves.
Enclaves AWS Nitro
Les enclaves AWS Nitro peuvent être utilisées pour créer un environnement isolé sur n'importe quelle instance EC2 alimentée par le système Nitro. Alors que le système Nitro de la société isole déjà plusieurs instances EC2 s'exécutant sur le même matériel, Nitro Enclaves fournit une isolation supplémentaire via un noyau séparé et en partitionnant le processeur et la mémoire d'une seule instance EC2 "parente". Le maître EC2 se connecte à l'enclave via un socket virtuel, et ce socket est le seul moyen pour les données d'entrer ou de sortir d'une Nitro Enclave. Jeff Barr, évangéliste en chef d'AWS, a expliqué comment ces nouvelles enclaves sécurisées utilisent l'hyperviseur "Nitro" qu'AWS a présenté dans un article de blog en 2017, en disant : "L'hyperviseur Nitro crée puis signe un document de certification lors de la création de chaque enclave Nitro. Le document contient (entre autres) un ensemble d'enregistrements de configuration de plate-forme (PCR) qui fournissent une mesure cryptographiquement forte du processus de démarrage. Ces valeurs, lorsqu'elles sont associées à une stratégie de clé KMS, sont utilisées pour vérifier que l'image, le système d'exploitation, l'application, le rôle IAM et l'ID d'instance attendus ont été utilisés pour créer l'enclave. Une fois que KMS a terminé cette étape de vérification, il effectuera l'action d'API souhaitée (déchiffrer, générer une clé de données ou générer une valeur aléatoire) demandée par le code exécuté sur l'enclave. "Les enclaves sont désormais disponibles sur n'importe quelle instance EC2 exécutant Nitro, et bien que les utilisateurs puissent créer une enclave à partir d'une instance EC2, AWS prévoit également de prendre en charge plusieurs enclaves à l'avenir. Via le registre