Single Blog

El análisis Noticia Sin categorizar
_ _ Maria Grazia_ 0 Comments

Informática confidencial, la perspectiva de AWS

Clientes de todo tipo y marcas de todo el mundo confían sus datos y aplicaciones más confidenciales a
Amazon Web Services
. Por ello, a lo largo de los años, AWS ha invertido cada vez más en tecnologías y sistemas diseñados precisamente para seguir manteniendo y aumentando el nivel de seguridad y confidencialidad de sus clientes. Particularmente en el último año, ha habido un creciente interés en el concepto de computación confidencial.

AWS define
la informática confidencial como «el uso de hardware especializado y firmware asociado para proteger el código y los datos del cliente durante el procesamiento del acceso externo».

Además, la informática confidencial distingue dos dimensiones: la seguridad y la privacidad. La dimensión más importante es la protección del código y los datos del cliente frente al operador de la infraestructura en la nube subyacente. La segunda dimensión es la capacidad de los clientes para dividir sus cargas de trabajo en componentes más confiables y menos confiables, o para diseñar un sistema que permita a las partes crear sistemas que funcionen en estrecha colaboración mientras mantienen la confidencialidad del código y los datos de cada parte.

AWS y el sistema Nitro

Para cumplir con ambos niveles de seguridad y privacidad, AWS ha desarrollado el
sistema Nitro
 (primera dimensión de seguridad) y el sistema
Nitro Enclave
 (segunda dimensión de seguridad). Durante la última edición de
Re:Inforce
, un evento de AWS dedicado íntegramente a la seguridad, se dedicó espacio a la presentación del sistema Nitro.

Nitro consta de tres partes principales: las placas Nitro, el chip de seguridad Nitro y el hipervisor Nitro. Las tarjetas Nitro son hardware dedicado con capacidades informáticas que realizan funciones de E/S, como la tarjeta Nitro para Amazon Virtual Private Cloud (Amazon VPC), la tarjeta Nitro para Amazon Elastic Block Store (Amazon EBS) y la pestaña Nitro para el almacenamiento de instancias de Amazon EC2.

Vea la presentación de Nitro en Re:Inforce

Los tres enfoques del sistema Nitro

Intentemos ver específicamente cómo el sistema Nitro logra ofrecer diferentes niveles de seguridad.

  • Protección de los operadores de la nube. Con el sistema Nitro, nadie puede acceder a los servidores EC2 (la infraestructura de host subyacente), leer la memoria de la instancia EC2 ni acceder a los datos almacenados en el almacenamiento de instancias y a los volúmenes de EBS cifrados.
  • Protección contra el software del sistema de AWS. El diseño del sistema Nitro utiliza el aislamiento de memoria basado en hardware de bajo nivel para eliminar el acceso directo a la memoria del cliente, así como para eliminar la necesidad de un hipervisor en instancias sin sistema operativo.

Para instancias EC2 virtualizadas. El hipervisor Nitro se coordina con los sistemas de virtualización de hardware subyacentes para crear máquinas virtuales aisladas entre sí y del propio hipervisor. El acceso a la red, el almacenamiento, la GPU y el acelerador utiliza SR-IOV, una tecnología que permite que las instancias interactúen directamente con los dispositivos de hardware mediante una conexión de paso a través creada de forma segura por el hipervisor.


Para instancias EC2 sin sistema operativo
. En este caso, no hay ningún hipervisor ejecutándose en el servidor EC2 y los clientes obtienen acceso dedicado y exclusivo a toda la placa del sistema maestro subyacente. Las instancias bare metal están diseñadas para clientes que desean acceder a recursos físicos para aplicaciones que aprovechan las capacidades de hardware de bajo nivel y para aplicaciones que están diseñadas para ejecutarse directamente en hardware o con licencia y soporte para su uso en entornos no virtualizados. Las instancias bare metal tienen las mismas capacidades de almacenamiento, redes y otras capacidades de EC2 que las instancias virtualizadas, ya que el sistema Nitro implementa todas las funciones del sistema que normalmente proporciona la capa de virtualización de forma aislada e independiente utilizando hardware dedicado y firmware de sistema especialmente diseñado.

  • Proteja los datos confidenciales de los operadores y el software del cliente. Para este tipo de enfoque, AWS propone el método Enclaves nitro. Nitro Enclaves es un entorno informático reforzado y altamente aislado que se lanza y se adjunta a la instancia EC2 de un cliente. De forma predeterminada, ningún usuario o software que se ejecute en la instancia EC2 del cliente puede tener acceso interactivo al enclave. Nitro Enclaves tiene capacidades de atestación criptográfica que permiten a los clientes verificar que todo el software implementado en su enclave ha sido validado y no ha sido manipulado. Un enclave Nitro tiene el mismo nivel de protección del operador en la nube que una instancia EC2 normal basada en Nitro, pero agrega la capacidad para que los clientes dividan sus sistemas en componentes con diferentes niveles de confianza. Un enclave de Nitro proporciona un medio para proteger elementos especialmente confidenciales del código y los datos de los clientes, no solo de los operadores de AWS, sino también de los operadores de los clientes y otro software.
Descubre todos los beneficios de Nitro

El principal beneficio del sistema Nitro es que permite a los clientes proteger y aislar el procesamiento de datos confidenciales de los operadores y el software de AWS en todo momento. Ofrece la dimensión más importante de la informática confidencial, que es el conjunto de protecciones intrínsecas, por defecto, del software del sistema y de los operadores de la nube, y, gracias a Nitro Enclaves, también protege contra el software y los operadores de los clientes.

Author

Maria Grazia

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.