개요
AWS Nitro Enclaves(Nitro)는 Amazon에서 제공하는 추가적인 Isolated execution environment를 통해서 고객의 소중한 데이터를 보호할 수 있게 하는 기술이다. 니트로는 분리된 제약조건이 많은 VM에서 돌아간다. 니트로는 Secure local socket으로만 부모와 통신하며, 스토리지에 흔적을 남기지도 않고, 다른 인스턴스와 부모를 제외하고는 통신하지도 않으며, 로컬 소켓이외에는 네트워킹도 이루어 지지 않다. Secure local socket권한이 없으면 제 아무리 부모가 탈취되더라도, 니트로에 존재하는 데이터들은 SSH와 같은 그 어떤 방식으로도 접근 할 수 없다.
니트로는 Attestation이라는 기능도 제공하는데, 이는 Signed된 코드만이 니트로에서 돌아갈 수 있도록 하는 서비스이다. AWS Key Management와 결합하여 니트로는 Attestation을 통해서 추가적인 보안 위협에 대비할 수 있도록 하였다. 니트로는 Hardware protection을 통해서 vCPU와 메모리를 통해서 구현된다. 니트로는 Lightweight virtual machine과 같은 형태로 제공되며, 니트로 하이퍼 바이저에 의해서 보호된다.