CMP302 | 使用亚马逊云科技计算进行机密计算

CMP302 | 使用亚马逊云科技计算进行机密计算

关键字: [Amazon Web Services re:Invent 2023, Nitro Enclaves, Confidential Computing, Amazon Web Services Nitro Enclaves, Data Isolation, Cryptographic Attestation, Multiparty Collaboration]

本文字数: 2300, 阅读完需: 12 分钟

视频

导读

在亚马逊云科技中，机密计算被定义为使用专门的硬件和相关固件来保护正在使用的客户代码和数据免受未经授权的访问。在本次分享中，我们将一起深入研究亚马逊云计算提供的基于硬件和软件的解决方案，这些解决方案为客户组织提供一个安全的环境，具有诸如 Amazon Nitro System 和 Amazon Nitro Enclaves 等机密计算功能。此外，您还将了解 Amazon Nitro Enclaves 的构建块，包括工具、SDKs、认证和 CI/CD 等内容。

演讲精华

以下是小编为您整理的本次演讲的精华，共2000字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

演讲从一个热情洋溢的欢迎开始，这是针对选择在这个早晨学习亚马逊云科技计算服务的机密计算的学员。演讲者感谢观众们有众多选择如何度过时间，但他们选择了参加这个课程。演讲者希望这能够证明他们是善于安排时间的。

演讲者Arvind介绍自己是负责亚马逊云科技计算的专家。他的同事JD Bean，同时也是亚马逊云科技的主要安全架构师，加入了他的团队。Arvind解释说，他们将在课程中涵盖几个主题：首先，他们将介绍亚马逊云科技的机密计算概念。接下来，他们将讨论亚马逊云科技的Nitro系统、Nitro Enclaves和Nitro TPM。然后，他们将深入探讨Nitro Enclaves的运作方式、新功能以及其主要特性和优势。

Arvind和JD将通过示例数据流展示将数据从S3引入封闭区域进行处理的过程，并讨论机密计算在亚马逊云科技中可能提供价值的典型使用案例和市场细分。最后，他们将简要介绍Nitro TPM和Secure Boot。

在第一个主题中，Arvind让听众表示他们对机密计算的熟悉程度。只有10-20%的人表示他们了解它，所以他提供了一个简介。他解释道，亚马逊云科技的机密计算涉及使用专门的硬件和固件在数据处理过程中保护数据免受任何未经授权的访问。重点是在使用过程中保护数据，将安全性扩大到超出对静止和传输中的数据的传统保护。

Arvind详细说明客户在机密计算方面关心的两个不同的安全和隐私维度：维度一是保护代码和数据免受云运营商（即亚马逊云科技）的影响。好消息是，自2018年初以来启动的所有基于亚马逊云科技的Nitro实例都默认提供这种保护。第二个维度涉及到保护高度敏感的数据和代码免受客户方管理员级别的用户或作为管理员的恶意行动者的影响。

总之，第一个维度是关于保护来自云服务提供商的数据，而第二个维度关注的是保护来自客户方的数据。

阿文德解释道，随着个人可识别信息、加密密钥、医疗保健数据、金融数据、数字资产等高敏感数据类型在云端处理越来越多，保密计算正逐渐受到更多关注。尽管这并不是什么新鲜事物，但客户希望对这些工作负载的安全保障不仅仅局限于静态和传输中的数据。日益需要保护使用中的数据，这推动了保密计算的兴趣。亚马逊云科技为此提供了三种关键功能来支持保密计算。

Nitro卡能够加速特定功能，包括本地NVMe即时存储、弹性块存储、网络连接以及通过Nitro控制器提高安全性。主板上的Nitro安全芯片能够防止未经授权的固件更改，并在系统启动过程中验证所有组件。Nitro虚拟化管理程序被最小化，仅负责为实例分配资源。因此，其性能与裸金属相当，而实时更新安全补丁的可能性几乎不会对性能产生影响，从而消除了正常运行时间和安全性之间的任何权衡。重要的是，没有任何亚马逊云科技的运营人员可以访问您的代码和数据。Nitro系统的架构使得不存在任何数据泄露接口或交互式访问。这是一个工程挑战，但对于安全性和隐私至关重要。总之，Nitro系统通过创新的两个领域架构改变了云计算原生虚拟化，该架构优化了安全和性能。客户反应积极，并想知道如何构建类似的系统以隔离他们自己的敏感工作负载，这导致了Nitro Enclaves的诞生。背景介绍完后，Arvind回来解释Nitro Enclaves如何处理机密计算的两个方面：保护来自客户自身的组织。他将标准EC2实例与多个组件和用户对比为从父实例中切割出的隔离的Nitro Enclave。Enclave没有外部连接或持久存储。父实例作为通向外界的管道。无法对Enclave进行互动访问。Enclave生成自己的加密密钥。它可以提供签名证明文件,以证明其身份和代码完整性,当访问外部服务如亚马逊云科技KMS时。总的来说,Enclave提供了超过甚至Nitro系统的强化隔离,以防止管理员用户访问高度敏感的数据。Arvind概述了Nitro Enclaves的关键特性和优势：额外的隔离和安全处理器无关性-在所有主要芯片类型上都能正常工作灵活的大小调整CPU和内存资源加密公钥和与亚马逊云科技KMS紧密集成。接着，他通过示例数据流展示了Nitro Enclaves的实际操作：首先,将加密数据从Amazon S3获取到父实例中。实例无法访问加密数据。

在一个特派区域创建之后，该区域的实例之间通过安全的本地通道传输加密数据。该区域向Nitro虚拟机请求一份签名证明文件，其中包括其独有的身份测量信息，例如PCR 0中的精确启动代码。接着，将这份证明发送给亚马逊云科技的KMS，请求解密所需的数据密钥以解密数据。在KMS解密数据密钥并将其返回给特派区域之前，会依据密钥策略验证证明。如今拥有了解密后的数据密钥，特派区域便能根据需求处理敏感数据。JD注意到特派区域模型与Nitro系统模型之间的相似之处。客户赞赏Nitro系统的隔离特性，并希望在他们的敏感工作负载中也实现这一隔离，从而产生了Nitro Enclaves的概念。Arvind随后探讨了Nitro Enclaves在各种应用场景和工作负载中的优势：- 对敏感数据的解密、签名、令牌化和机器学习推理- 保护知识产权，如专有ML模型- 区块链应用程序，如跨链桥接、热钱包和共识验证节点- 通过令牌化在广告中保留隐私- 安全多方计算，允许在不共享原始数据的情况下进行协作最后，Arvind介绍了近期推出的Nitro TPM功能。这使得能为亚马逊云科技实例提供系统完整性和健康状况的密码学证明。Nitro TPM符合标准的TPM 2.0规范。这使依赖TPM的on-premises工作负载更轻易地迁移至亚马逊云科技。同时，还启用了新的使用场景，如Microsoft BitLocker加密和Linux Unified Key Setup。总之，Arvind鼓励与会者访问亚马逊云科技.amazon.com/enclaves了解更多，并尝试参加Nitro Enclaves的工作坊。他与JD期待与与会者展开更多讨论。总的来说，本次演讲深入了解了亚马逊云科技上的保密计算。借助Nitro系统的硬件隔离以及Nitro Enclaves在不同新兴应用场景中保护数据的能力。客户可以通过利用这些功能来保护他们最敏感的数据。

下面是一些演讲现场的精彩瞬间：

阿文德（Arvind）是一位在亚马逊云科技负责举办“计算大会”的专家，他将与首席安全架构师JD Bean共同发表演讲。

在演讲中，阿文德阐述了保密计算为何日益受到关注的原因，这是因为诸如健康记录和金融数据等敏感数据如今都在云端进行处理。

Nitro Enclaves技术使得客户能够构建能够处理敏感数据而无需操作员访问的密封系统。

在这个安全的环境中，Nitro Enclaves为多方提供了一个平台，使他们能够在不泄露敏感信息的情况下共享彼此的数据和模型。

亚马逊云科技还提供了公共链和私有链之间的区块链桥接，以及带有加密的受信任的执行环境。

在演讲的最后，阿文德强调了两个关键资源——一本白皮书和一个关于加密的自学课程。

他鼓励听众在会议结束后查阅Nitro TPM的技术文档，并讨论一些定制的使用场景。

总结

简介：

本演讲主要探讨亚马逊云计算技术中的机密计算功能，重点分析如何处理敏感数据以确保其安全性。内容涵盖亚马逊云计算技术的Nitro系统、Nitro Enclaves以及Nitro TPM等核心主题。

关键要点：

1. 亚马逊云计算技术的Nitro系统通过将客户数据和代码与云服务提供商进行隔离，为机密计算奠定了基础。专用硬件和最小化的虚拟化管理程序创建了两个独立的安全区域。

2. Nitro Enclaves在Nitro系统的基础上进一步实现了隔离，通过创建无外部网络访问的限制性虚拟机来实现。Enclaves允许客户甚至保护他们内部最敏感的数据和代码免受侵犯。

3. Nitro TPM支持系统健康和完整性的加密证明。具有TPM 2.0兼容性，使得客户能够更轻松地迁移依赖于TPM的本地工作负载。

总结：

诸如Nitro系统、Enclaves和TPM之类的机密计算功能使得客户能够在使用过程中更有效地保护他们的敏感数据。通过利用专用硬件和软件，亚马逊云计算技术提供了强大的隔离、证明和加密能力，以满足各种隐私保护需求。

演讲原文

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。