تطلق AWS “Nitro Enclaves” لتسهيل معالجة البيانات عالية الأمان – CloudSavvy IT
Nitro Enclaves هي ميزة جديدة في AWS Nitro Hypervisor لإدارة مثيلات EC2. يتيح لك توفير بيئة عزل منفصلة لمعالجة البيانات شديدة الأمان والمشفرة عادةً.
معالجة البيانات في بيئة معزولة
Nitro Enclaves هي ميزة جديدة لـ EC2. يحتاج كل Enclave إلى مثيل EC2 باعتباره الأصل ؛ يمكنك التفكير فيه على أنه ملحق ، مثل محرك EBS أو بطاقة التسريع.
هذه الجيوب النيترو هي في الواقع لا يصدق سلامة. إنهم معزولون تمامًا ، ولا يمكن لأحد ، ولا حتى أنت أو المالك أو المسؤول الوصول إليها مباشرة أو أي عمليات تعمل عليها عبر SSH. ليس لديهم شبكة خارجية. يمكن للوالد فقط التحدث إلى الجيب ، وفقط من خلال مقبس الشبكة المحلية. هذا يعني أنه يمكن تكوين الخادم الأصلي لمعالجة البيانات المشفرة دون الحاجة إلى إدخال نطاق الخادم.
يعمل على النحو التالي: تمرير طلب إلى المثيل الأصل الذي يحتاج إلى معالجة بعض البيانات الحساسة. بدلاً من معالجتها محليًا ، أرسلها إلى Enclave. على الرغم من أنه منفصل تقنيًا ، يمكنك اعتباره جزءًا محميًا خاصًا من الخادم الأصلي. يمكن لمنطقة الأمان الحصول على مفتاح فك التشفير من خدمة إدارة المفاتيح في AWS ، وفك تشفير البيانات ، وإرسال استجابة بعد المعالجة.
قم بإنشاء منطقة آمنة عن طريق “تقسيم وحدة المعالجة المركزية وذاكرة مثيل EC2”. على سبيل المثال ، إذا كان لديك جهاز كمبيوتر 16 نواة 64 جيجا بايت ، فيمكنك تخصيص 4 مراكز و 32 جيجا بايت للمنطقة الآمنة.
ومع ذلك ، يضع Nitro Hypervisor نفس القيود على الوصول إلى وحدة المعالجة المركزية والذاكرة بين المثيل الرئيسي والمحتوى المحصور ، تمامًا مثل المثيل والأشخاص الآخرين على نفس المضيف. الطريقة الوحيدة لتوصيل الاثنين هي اتصال vsock المحلي.
يعد التكامل مع خدمة الإدارة الرئيسية لـ AWS مفيدًا للغاية هنا. يمكن استخدام KMS لتتبع الوصول إلى مفاتيح فك التشفير الحساسة وتدويرها وإدارتها. يستخدم هذا التكامل “إثباتًا مشفرًا” ، مما يعني أن Nitro Hypervisor ينشئ ملف شهادة موقّعًا للمجال لإثبات هويته لـ KMS. يتضمن ذلك تجزئة ملف الصورة ، وشهادة توقيع ملف الصورة ، وتجزئة نواة Linux ، ودور IAM في الأصل ، ومعرف الأصل. يجب أن تتطابق جميع التكوينات ، وإلا فلن يمر الطلب إلى KMS. إذا كنت مهتمًا ، فيمكنك استخدام أداة العينة المضمنة مع Nitro لإثبات عملية التصديق على كلمة المرور.
كيفية استخدام نيترو جيب
لاستخدامها ، تحتاج إلى بدء مثيل مع تمكين الإعدادات:
ثم تحتاج إلى إنشاء الصورة من Dockerfile واستخدام CLI لإنشاء الجيب. يمكنك قراءة دليل البدء الخاص بـ AWS من مدونتها أو من برنامج YouTube التعليمي لمعرفة المزيد.
بعد ذلك ، قد تحتاج إلى إعداد شهادة KMS لاستخدامها بأمان مع KMS.