Amazon Nitro Enclaves硬核出擊，只為守護你的秘密！

目前，網(wǎng)絡威脅行為日益復雜，幾乎每周都能聽到關于重大數(shù)據(jù)泄露事件的新聞，網(wǎng)絡安全已遠超IT領域的范圍，成為備受高層關注的問題。正因如此，企業(yè)范圍內(nèi)的機密計算越來越受到重視——該計算策略通過受信執(zhí)行環(huán)境（TEE），對內(nèi)存中正在處理的數(shù)據(jù)進行保護，避免其暴露給整個系統(tǒng)。

在深入了解Amazon Nitro Enclaves之前，先來普及一些背景知識。在我們最近發(fā)布的報告The Rise of Confidential Computing—Trust:The New Battlefield in the Age of Digital Transformation（《機密計算的興起——信任：數(shù)字化轉型的新戰(zhàn)場》）中，我和同事Shelly Kramer探討了機密計算的優(yōu)勢，包括對使用中的數(shù)據(jù)進行保護、并允許開發(fā)技術部署選項以避免內(nèi)部威脅。

當今的商業(yè)環(huán)境下，數(shù)據(jù)泄露可能會造成停工期間高達數(shù)百萬美元的收入損失，并對企業(yè)、消費者信任和品牌聲譽造成極其惡劣的影響。機密計算的作用，就在于解決需立即關注的重大挑戰(zhàn)。云服務供應商正積極嘗試各種解決方案以滿足這一需求。各家供應商又采用了略為不同的方法來滿足提供受信執(zhí)行環(huán)境的需求。我們認為，Amazon Nitro Enclaves采用的方法值得關注，并將受益于對任何云服務采用者的深入評估和考慮。

至于說到最大的優(yōu)勢？與處理器無關，Amazon Nitro Enclaves可在大多數(shù)基于Intel和AMD的Amazon EC2實例類型上使用，為最終用戶提供最大的靈活性。

前面說了怎么多，你知道Amazon Nitro Enclaves是什么嗎？

Amazon Nitro Enclaves是一項Amazon EC2功能，使客戶能夠創(chuàng)建隔離的計算環(huán)境，并通過物理基礎架構的硬件功能提供對其強大的保護，使其免受環(huán)境中其他部分的影響。這樣，用戶可以基于安全區(qū)域來創(chuàng)建或獲取其信任的應用程序，從而在無需信任操作系統(tǒng)、特權管理員或對其計算基礎結構有訪問權限的對手的安全性的情況下，也能保證所操作敏感數(shù)據(jù)或使用的知識產(chǎn)權的保護。安全區(qū)域不提供永久式存儲，也沒有外部聯(lián)網(wǎng)或操作員訪問權限；通信只能通過受信任的渠道與創(chuàng)建環(huán)境的實例進行。

Amazon Nitro Enclaves使用安全虛擬套接字（VSOCK）接口——這是自2016年以來Linux內(nèi)核中通常提供的開源技術——作為安全區(qū)域中運行的“受信”軟件與Amazon EC2實例中運行的“一般”或“不受信”軟件之間的唯一通信渠道。最終，該功能既支持采用分區(qū)和隔離模式來保護數(shù)據(jù)，同時也有效降低了表層攻擊的成功率。

至于最大的優(yōu)勢？Amazon Nitro Enclaves與處理器無關，它可在大多數(shù)基于Intel和AMD的Amazon EC2實例類型上使用，為最終用戶提供最大的靈活性。

Amazon Nitro Enclaves如何成為TEE最佳方案？與機密計算又有何聯(lián)系？

亞馬遜云科技在Amazon Nitro Enclaves的推廣中并未提及“機密計算”。當前，行業(yè)分析師、財團和亟待改善安全狀況的客戶對這一概念有著不同的理解。一段時間以來，IT部門著眼于通過加密來保護靜態(tài)數(shù)據(jù)和傳輸?shù)臄?shù)據(jù)，但在內(nèi)存數(shù)據(jù)的保護方面，選擇乏善可陳。這一情況引起了管理層和監(jiān)管者的質疑和重視。

一些云服務提供商在營銷中稱，“機密計算”讓客戶將責任托付給受信任的硬件制造商，而減少了對云服務供應商的信任。而亞馬遜云科技始終向客戶傳遞這一清晰的理念：亞馬遜云科技負責云基礎架構“本身”的安全性，而客戶負責的是“在云中”運行的安全性。

通過在Amazon Nitro系統(tǒng)中內(nèi)置技術和運營保障的結合，亞馬遜云科技為客戶提供了在最新一代Amazon EC2實例上運行客戶計算工作的安全和機密保障——即亞馬遜云科技設計的硬件和固件的特有組合。Nitro Hypervisor是該系統(tǒng)的一個組件。它是一個基于固件的虛擬機管理程序，通過處理器的硬件功能在創(chuàng)建Amazon EC2實例和Amazon Nitro Enclaves時嚴格隔離物理系統(tǒng)資源。和商業(yè)成品組件或商用開源虛擬化解決方案不同，Nitro Hypervisor專用于滿足亞馬遜云科技及其客戶的安全和運營需求，包括保護當前運行的最為嚴苛、敏感性最高的工作內(nèi)容。

從體系結構上講，一些針對服務器處理器、基于硬件的新型技術保護措施，例如AMD SEV-ES、AMD SEV-SNP、Intel?TDX或ARM機密計算架構（ARM Confidential Compute Architecture，CCA）可以集成到Amazon Nitro Enclaves的實現(xiàn)中，且不會實際改變用戶體驗或影響安全區(qū)域應用程序的兼容性。這就為亞馬遜云科技提供了一種方法來繼續(xù)提高其用于保證隔離和保密的硬件功能的門檻。

某些客戶可能會要求直接采用針對具體供應商、基于硬件的受信執(zhí)行環(huán)境，例如Intell?SGX，而不是支持多個硬件供應商的TEE（例如Amazon Nitro Enclaves）。在這些情況下，云服務提供商將需要提供對專有硬件功能的訪問。客戶應了解，這種做法可能會縮小可用容量，或額外增加實現(xiàn)的復雜性。

基本了解Amazon Nitro Enclaves之后，現(xiàn)在一起來看看在實際應用表現(xiàn)怎么樣吧~

從金融服務、國防到生命科學，Amazon Nitro Enclaves可應用于多個具有敏感數(shù)據(jù)安全保護需求的行業(yè)及領域。Amazon Nitro Enclaves通過創(chuàng)建高度受控、受限、受約束的用戶環(huán)境，幫助防御從內(nèi)部到外部的多種復雜威脅。

Amazon Nitro Enclaves的部分優(yōu)勢包括：

1 靈活性

Amazon Nitro Enclaves可以控制分配給安全區(qū)域環(huán)境的內(nèi)存和處理能力，并且用戶可以根據(jù)需要更改CPU內(nèi)核和內(nèi)存。Amazon Nitro Enclaves可以在多種CPU供應商支持的Amazon EC2實例上使用，并與所有編程語言及框架兼容。

2 低成本

Amazon Nitro Enclaves基本上不產(chǎn)生費用。亞馬遜云科技僅針對組織的初始Amazon EC2實例和其他亞馬遜云科技服務計收標準費用。

3 安全性

對任何類型敏感信息的保護顯然是重中之重。Amazon Nitro Enclaves根據(jù)有簽名的證明文件進行認證，用以驗證安檢的身份并確保只有授權的代碼才能運行。

既然Amazon Nitro Enclaves有這么多優(yōu)勢，那它的存在有什么重要意義呢？

正如我們在報告中所述，機密計算目前尚處于起步階段。所有的大型云服務公司都在努力開發(fā)最安全的技術，以實現(xiàn)任何狀態(tài)下的數(shù)據(jù)保護。一個組織最適合的方案將始終取決于用戶的喜好和特定的業(yè)務需求。

我們認為，多年以來，亞馬遜云科技在Nitro System的硬件技術上大量投入，證明了這一主流趨勢：各大科技巨頭越來越多地以新穎、重要的方式來解決數(shù)據(jù)安全問題。Amazon Nitro Enclaves的推出，便是將這些投入的成果將直接交付給客戶，對他們在云中存儲和處理的敏感數(shù)據(jù)和進行隔離和保護。

總體而言，我們認為整個行業(yè)對所有狀態(tài)下數(shù)據(jù)安全性的關注和投入會不斷加強。我們期盼“機密計算和受信執(zhí)行環(huán)境”方面的重大進展，并且期待亞馬遜云科技一如既往地以其具備綜合實力的產(chǎn)品來參與這一領域的激烈競爭。

Futurum Research提供行業(yè)研究和分析。信息列僅用于教育學習交流，不應以任何方式視作投資建議。

（聲明：此報告翻譯自Futurum Research發(fā)布的《AWS Nitro Enclaves:The AWS Answer For Trusted Execution Environments》。原文為英文報告，F(xiàn)uturum Research不對翻譯過程中可能導致的內(nèi)容不準確負責。）