投稿日: Oct 28, 2020
AWS Nitro Enclaves は、Amazon EC2 インスタンスに保存する、個人が特定可能な情報 (PII) 、医療、金融、知的財産データなどの高度な機密情報の保護や安全措置を向上する、分離されたコンピューティング環境 (enclaves) を、お客様が作成することができる新しい EC2 の機能です。Nitro Enclaves は、最も機密性の高いデータを処理するアプリケーションにおいて、お客様が攻撃対象領域を削減するのに役立ちます。
現在、お客様はすでに Amazon EC2 を使用して、機密性の高いさまざまなデータを処理しています。こうしたお客様は、保存時と転送時の両方で、アクセスコントロールと暗号化を使用してこのデータを保護しています。ただし、処理中は、機密性の高いデータが復号化されます。処理中にデータを保護するために、多くの場合、個別の VPC をセットアップし、インスタンス上の不要なサードパーティソフトウェアを削除し、接続を制限し、ユーザーアクセスを制限しています。このような孤立したフリートの作成や管理には、かなりの運用リソースが必要になる場合があり、複雑になることもあります。これを、お客様にとってより簡単にしたいと考えました。
Enclaves は完全に分離された仮想マシンであり、強化され、高度に制約されています。Enclaves には永続的なストレージ、インタラクティブなアクセス、外部ネットワークはありません。インスタンスの root ユーザーまたは管理者ユーザーであっても、Enclaves にアクセスしたり、SSH で接続したりすることはできません。Nitro Enclaves は、実績のある Nitro Hypervisor の分離を使用して、Enclaves の CPU とメモリを、親インスタンス上のユーザー、アプリケーション、およびライブラリからさらに分離します。Enclaves と通信する唯一の方法は、Enclaves に接続されている親インスタンスからローカルソケットを使用することです。これにより、EC2 インスタンス内の機密性の高いデータの処理を、社内の管理者、デベロッパー、その他の EC2 インスタンスから分離できます。
Nitro Enclaves アテステーションを使用すると、認証されたコードのみが Enclaves 内で実行されるようにでき、その Enclaves の ID の検証もできます。Nitro Enclaves は AWS Key Management Service と統合されており、Enclaves 内で処理するために機密データを準備および保護します。また、Enclaves は、他のキー管理サービスと統合することもできます。
Nitro Enclaves は柔軟性があり、さまざまな量のコンピューティングリソースで作成でき、あらゆるプログラミング言語またはフレームワークと互換性があります。また、Nitro Enclaves はプロセッサに依存せず、AWS Nitro システム上に構築された Intel および AMD ベースの Amazon EC2 インスタンスタイプの大部分で利用できます。AWS Graviton2 ベースのインスタンスのサポートが間もなく開始されます。最後に、Nitro Enclaves の多くのコンポーネントはオープンソースであるため、お客様はコードを検査して自分で検証することもできます。
ACM for Nitro Enclaves は、AWS Nitro Enclaves を使って Amazon EC2 インスタンスで実行されている NGINX などのウェブアプリケーションおよびサーバーで、AWS Certificate Manager (ACM) からのパブリックおよびプライベート SSL/TLS 証明書を使用できるようにするリファレンス Enclaves アプリケーションです。
Amazon EC2 インスタンスや、Nitro Enclaves および ACM for Nitro Enclaves で使用されるその他の AWS のサービスを使用するためのコスト以外の追加コストはありません。Nitro Enclaves は、本日より、AWS 米国東部 (バージニア北部、オハイオ)、米国西部 (オレゴン)、欧州 (フランクフルト、アイルランド、ロンドン、パリ、ストックホルム)、アジアパシフィック (香港、ムンバイ、ソウル、シンガポール、シドニー、東京)、および南米 (サンパウロ) リージョンでご利用いただけます。また、まもなくさらに多くのリージョンでご利用可能になります。
AWS Nitro Enclaves の詳細および使用方法については、AWS Nitro Enclaves のページにアクセスしてください。