Von Ralf Keuper
AWS bietet Confidential Computing (data in use) in Gestalt sogenannter Nitro-Enklaven an. Eine wichtige Rolle übernehmen dabei der Key Management Service (KMS) sowie signierte Bescheinigungsdokumente, mit denen die Enklaven ihre Identität nachweisen können. Währenddessen hat Entrust seine KeyControl-Software um eine Funktion für das Lifecycle-Management kundengenerierter kryptografischer Schlüssel erweitert, die auf AWS (Amazon Web Services) zum Einsatz kommt.
Nitro-Enklaven sind vollständig isoliert, sodass nicht einmal der Administrator über SSH direkt auf sie oder auf die darauf laufenden Prozesse zugreifen kann. Sie verfügen überdies über kein externes Netzwerk; nur der Elternserver kann mit der Enklave kommunizieren, und das auch nur über lokale Netzwerk-Sockets. Das bedeutet, dass der übergeordnete Server so konfiguriert werden kann, dass er verschlüsselte Daten verarbeitet, ohne dass diese jemals in den Zugriff des Servers gelangen[1].
![](https://sicherer-datenaustausch-in-der-industrie.de/wp-content/uploads/2021/08/Diagram_Nitro-Enclaves-1.d49352288d6128b3ad06843370178f88015b6cd9.png)