AWS Nitro Enclaves

追加の分離を作成して、EC2インスタンス内の機密性の高いデータをさらに保護

AWS Nitro Enclaves では、高度な機密情報の保護や安全措置を向上する、分離されたコンピューティング環境を、お客様が作成することができます。これにより、Amazon EC2 インスタンスに保存する、個人が特定可能な情報 (PII) 、医療、金融、知的財産データなどに対応します。Nitro Enclaves では、EC2 インスタンスで CPU とメモリの分離を行っているのと同じ、Nitro Hypervisor テクノロジーを採用しています。

Nitro Enclaves は、最も機密性の高いデータを処理するアプリケーションにおいて、お客様が攻撃対象領域を削減するのに役立ちます。Enclaves は、重要機密を扱うアプリケーションをホストするための、強力かつ分離され、高度な強制力を持つ環境を提供します。Nitro Enclaves には、ソフトウェア用の暗号化証明書が含まれています。これにより、認証のあるコードだけが正確に実行されるようにできます。同時に、AWS Key Management Service との統合も行え、ご自身の領域からのみ機密情報にアクセスできるようにします。

Enclaves は EC2 インスタンスにアタッチされた仮想マシンで、永続的なストレージや管理者および運用担当者のアクセスとは無縁です。そして、ご自身の EC2 インスタンスへの安全なローカル接続のみ存在します。

Nitro_Enclaves_Icon

メリット

追加的分離とセキュリティ

Enclaves は完全に分離された仮想マシンで、永続的なストレージや管理者および運用担当者のアクセスとは無縁です。安全でローカルな接続のみが存在します。お客様のインスタンスとエンクレーブの間の通信は、安全なローカルチャネルを通じて行われます。これらの機能が、エンクレーブとお客様のソフトウェアの分離を助けるので、攻撃対象領域を大幅に削減できます。

暗号化証明

Attestation では、認証されたコードのみが エンクレーブ内で正確に実行されるようにでき、そのエンクレーブの ID の検証もできます。証明プロセスは、Nitro Hypervisor を通じて完了され、提供されるエンクレーブに関する署名付きの証明ドキュメントが、外部のパーティーやサービスに対し ID を保証します。証明ドキュメントには、エンクレーブの公開キー、エンクレーブイメージとアプリケーションのハッシュ、その他の、主要な詳細情報が記載されます。Nitro Enclaves は AWS KMS との統合も含まれ、KMS において、エンクレーブが送信した証明ドキュメントの読み込みと検証が可能です。

リソースの柔軟な割り当て

エンクレーブの作成には、CPU コアとメモリに関する多様な組合せが使えます。これにより、現在 EC2 インスタンスで実行しているのと同じメモリおよび計算量の多いアプリケーションを、同様に実行するための十分なリソースが確保できます。

しくみ

Diagram_Nitro-Enclaves (1)

Figure 1: Nitro Enclaves では、EC2 インスタンスにおいて CPU とメモリの分離を行っているのと同じ、Nitro Hypervisor テクノロジーが採用されています。これにより、Enclave と EC2 インスタンスの分離が実現されています。