使用 AWS Nitro Enclave 加密时,是否可以阻止 EC2 实例访问明文数据?
Can we prevent EC2 instance from accessing the plain text data when using the AWS Nitro Enclave for encryption?
我正在做一个项目,在这个项目中,通过 REST API 来自客户的数据在发送到数据库之前应该被加密。为此,我们需要使用 AWS Nitro Enclave 进行加密。所以 Nitro Enclave 将从父 EC2 接收数据,与 KMS 对话以检索加密密钥,加密数据并将其发送回 EC2,然后 EC2 将其发送到数据库。
问题是数据现在以纯文本形式暴露给任何可以访问 EC2 的人,这违背了保护数据的整个目的。我的问题是:无论如何,数据是否会被 Enclave 自身拦截,换句话说,TLS 是否可以在 Enclave 中终止?我知道 Enclave 没有任何网络功能,但我现在不确定这个 Enclave 如何解决保护个人身份信息的问题。
非常感谢对这一点的任何澄清。
非常感谢!
扎克
TLS terminate in the Enclave?
当然,您可以使用 vsock-proxy
(Nitro Enclaves CLI 安装的一部分)将流量(未终止)直接传递到 Nitro Enclave,请参阅 https://nitro-enclaves.workshop.aws/en/my-first-enclave/secure-local-channel.html
我正在做一个项目,在这个项目中,通过 REST API 来自客户的数据在发送到数据库之前应该被加密。为此,我们需要使用 AWS Nitro Enclave 进行加密。所以 Nitro Enclave 将从父 EC2 接收数据,与 KMS 对话以检索加密密钥,加密数据并将其发送回 EC2,然后 EC2 将其发送到数据库。
问题是数据现在以纯文本形式暴露给任何可以访问 EC2 的人,这违背了保护数据的整个目的。我的问题是:无论如何,数据是否会被 Enclave 自身拦截,换句话说,TLS 是否可以在 Enclave 中终止?我知道 Enclave 没有任何网络功能,但我现在不确定这个 Enclave 如何解决保护个人身份信息的问题。
非常感谢对这一点的任何澄清。
非常感谢! 扎克
TLS terminate in the Enclave?
当然,您可以使用 vsock-proxy
(Nitro Enclaves CLI 安装的一部分)将流量(未终止)直接传递到 Nitro Enclave,请参阅 https://nitro-enclaves.workshop.aws/en/my-first-enclave/secure-local-channel.html