Amazon Web Services (AWS) объявила об общедоступности решения AWS Nitro Enclaves, с помощью которого можно создавать изолированные и защищённые вычислительные среды c инстансами Amazon EC2 для защиты своих особо важных рабочих нагрузок. Каждый Enclave — это виртуальная машина, созданная с использованием той же технологии Nitro Hypervisor, которая обеспечивает изоляцию ЦП и памяти инстансов EC2, но без постоянного хранилища, без доступа администратора или оператора и без внешней сети.

Эта изоляция означает, что приложения, работающие в Enclave, остаются недоступными для других пользователей и систем, и даже для пользователей внутри организации заказчика. Благодаря этой изоляции владелец AWS Nitro Enclave может запускать и останавливать Enclave или назначать ресурсы для него, но даже он не сможет видеть, что обрабатывается внутри AWS Nitro Enclave.
Используя AWS Nitro Enclaves, клиенты просто выбирают тип инстанса и решают, как много ЦП и памяти они хотят выделить для Enclave. AWS Nitro Enclaves обеспечивает гибкость для разделения различных комбинаций ядер ЦП и памяти, позволяя клиентам подбирать ресурсы в соответствии с требованиями к размеру и производительности своих рабочих нагрузок.

Заказчики могут разрабатывать приложения Enclave, используя набор библиотек AWS Nitro Enclaves SDK с открытым исходным кодом. SDK AWS Nitro Enclaves также интегрируется со службой шифрования и управления ключами AWS Key Management Service (KMS), позволяя клиентам создавать ключи данных и расшифровывать их внутри Enclave.
AWS также объявила о запуске AWS Certificate Manager (ACM) для Nitro Enclaves, нового приложения Enclave, которое упрощает для клиентов защиту и управление сертификатами SSL/TLS для своих веб-серверов, работающих на Amazon EC2.

С помощью ACM for Nitro Enclaves клиенты смогут легко изолировать сертификаты SSL/TLS внутри Enclave, делая их доступными для использования веб-серверами в инстансе, защищая их от доступа других пользователей или приложений в среде клиента. ACM for Nitro Enclaves гарантирует, что конфиденциальные данные, связанные с этими сертификатами, никогда не покидают Enclave, а также управляет отзывом и обновлением сертификатов, чтобы уменьшить потребность в ручном мониторинге и перенастройке веб-сервера по истечении срока действия сертификата.
Решение AWS Nitro Enclaves доступно на большинстве типов инстансов Amazon EC2 на платформах Intel и AMD, созданных на базе системы AWS Nitro (поддержка инстансов на базе AWS Graviton2 появится в первой половине 2021 года).
На данный момент AWS Nitro Enclaves доступно в следующих регионах AWS: Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Орегон), Европа (Франкфурт), Европа (Ирландия), Европа (Лондон), Европа (Париж), Европа (Стокгольм), Азиатско-Тихоокеанский регион (Гонконг), Азиатско-Тихоокеанский регион (Мумбаи), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио) и Южная Америка (Сан-Паулу). Вскоре этот перечень расширится.
Источник: