Serwer w chmurze bez sieci, trwałej pamięci masowej i dostępu użytkowników.

AWS ma rozwiązanie dla poufnych danych

AWS właśnie wymyśliło nowy wymiar bezpieczeństwa dla osób które lubią niebo z tylko jedną, bardzo odizolowaną od innych, chmurą. AWS wprowadził bowiem właśnie nowy wariant swojej usługi EC2 IaaS, który nie oferuje łączności z siecią zewnętrzną, trwałej pamięci masowej i dostępu użytkownika - nawet użytkownik root lub administrator instancji nie może uzyskać dostępu ani SSH do instancji.

Nowa oferta nosi nazwę „Nitro Enclaves” i ma na celu zapewnienie bezpiecznego miejsca do przetwarzania poufnych danych. AWS Nitro Enclaves mają umożliwić klientom tworzenie izolowanych środowisk obliczeniowych w celu dalszej ochrony i bezpiecznego przetwarzania wysoce wrażliwych danych, takich jak dane osobowe, dane dotyczące opieki zdrowotnej, danych finansowych i własności intelektualnej. A wszystko w instancjach Amazon EC2. Enklawy oferują izolowane, wzmocnione i wysoce ograniczone środowisko do obsługi aplikacji krytycznych dla bezpieczeństwa. Mamy tu kryptograficzne atesty dla oprogramowania, dzięki czemu możesz mieć pewność, że działa tylko autoryzowany kod, a także integrację z AWS Key Management Service, dzięki czemu tylko nasze enklawy będą miały dostęp do wrażliwych treści.

Będzie jądro i wyłączność dostępu

Jak wyjaśnił Jeff Barr z amerykańskiego, chmurowego giganta, te „enklawy” są oferowane użytkownikom, którzy chcą czegoś więcej niż tylko bezpieczeństwo i izolacja dostępne w wirtualnej prywatnej chmurze.

Sprawdź oferty pracy na TeamQuest

Chociaż enklawy mogą nadal działać na sprzęcie współdzielonym z innymi instancjami EC2, uzyskują niezależne jądro i wyłączny dostęp do pamięci i zasobów procesora. Łączą się również z „nadrzędną” instancją EC2, która łączy się z enklawą za pośrednictwem gniazda wirtualnego. To gniazdo jest jedynym sposobem, w jaki dane wchodzą i wychodzą do tak zabezpieczonego środowiska.

Jak to działa?

Enklawy to nowe zastosowanie hiperwizora „Nitro”, który AWS wprowadził w 2017 roku. Barr wyjaśnił ich rolę w następujący sposób:

Nitro Hypervisor tworzy, a następnie podpisuje dokument atestacyjny podczas tworzenia każdej enklawy Nitro. Dokument zawiera (między innymi) zestaw rejestrów konfiguracji platformy (PCR, Platform Configuration Registers), które zapewniają kryptograficznie poprawny pomiar procesu rozruchu. Te wartości, gdy są dołączone do zasad kluczy KMS, służą do sprawdzania, czy do utworzenia enklawy użyto oczekiwanego obrazu, systemu operacyjnego, aplikacji, roli IAM i identyfikatora instancji. Po wykonaniu tego kroku weryfikacji usługa KMS wykona żądaną czynność interfejsu API (odszyfruje, wygeneruje klucz danych lub wygeneruje losową wartość) żądaną przez kod działający w enklawie.

Barr powiedział również: Wszystkie dane przepływające do i z enklawy są przesyłane przez lokalne połączenie wirtualnego gniazda (vsock), które kończy się na instancji EC2.

Dla kogo to?

Enklawy są dostępne w każdej instancji, w której działa Nitro, która obecnie obejmuje typ instancji M5, C5, R5, T3, I3, A1, P3dn, z1d i High Memory. Potrzebne jest też AMI, który uruchamia nowy interfejs CLI przeznaczony do tworzenia enklaw. AMI można znaleźć na GitHub.

Enklawy nie kosztują więcej niż jakakolwiek inna instancja EC2. Nie ma więc żadnych dodatkowych opłat za korzystanie z AWS Nitro Enclaves poza korzystaniem z instancji Amazon EC2 i wszelkich innych usług AWS używanych z Nitro Enclaves.

Na razie AWS pozwoli Ci sterować tylko jedną enklawą z instancji EC2, ale firma planuje obsługiwać wiele enklaw „w przyszłości”.