AWS Nitro System 기밀 컴퓨팅 기능에 대한 외부 검증

전 세계 AWS 고객은 데이터를 안전하게 유지하는데 있어 AWS를 신뢰하며, 고객의 워크로드를 안전하게 기밀로 유지하는 것은 AWS 운영 방식의 기초입니다. 저희가 AWS를 시작한 이후, 고객의 기대를 충족하고 심지어 초과 달성하기 위해 보안, 개인 정보 보호 도구 및 관행을 끊임없이 혁신해 왔습니다.

AWS Nitro System은 고객이 요구하는 데이터 격리, 성능, 비용 및 혁신 속도를 제공할 수 있게 해주는 모든 최신 AWS 컴퓨팅 인스턴스의 기본 플랫폼입니다. 데이터 처리 중 무단 액세스로부터 고객 코드와 데이터를 보호하는 특수 하드웨어 및 소프트웨어의 선구적인 설계 방식입니다.

2017년에 Nitro 시스템을 출시했을 때 우리는 모든 운영자가 고객 데이터에 액세스하는 것을 제한하는 고유한 아키텍처를 제공했습니다. 이는 Amazon EC2 인스턴스에서 사용 중인 데이터에 액세스할 수 있는 사람이나 AWS의 서비스가 없음을 의미합니다. 이러한 방식으로 시스템을 설계하면 몇 가지 아키텍처 및 운영상의 문제가 발생할 수 있다는 것을 알고 있었습니다. 그러나 이러한 방식으로 고객의 데이터를 보호하는 것이 고객의 요구 사항을 지원하는 가장 좋은 방법이라는 것도 알고 있었습니다.

작년에 AWS 디지털 주권 서약을 했을 때, 우리는 고객 데이터 처리와 관련하여 AWS 서비스가 설계되고 운영되는 방식에 대해 고객에게 더 큰 투명성과 보증을 제공하기로 약속했습니다. 이러한 투명성 향상의 일환으로 우리는 영국에 기반을 둔 선도적인 사이버 보안 컨설팅 회사인 NCC Group과 계약하여 Nitro 시스템의 독립적인 아키텍처 검토와 우리가 고객에게 제공하는 보안 보증을 수행했습니다. NCC는 이제 보고서를 발행하고 우리의 주장을 확인했습니다.

이 보고서는 “설계상의 문제로 NCC 그룹은 [AWS] 보안 주장을 손상시킬 수 있는 Nitro 시스템의 틈을 발견하지 못했습니다.”라고 말합니다. 특히 이 보고서는 Nitro System 프로덕션 호스트에 대한 다음 진술을 검증합니다.

1. 클라우드 서비스 공급자 직원이 기본 호스트에 로그인할 수 있는 메커니즘이 없습니다.
2. 어떤 관리 API도 기본 호스트의 고객 콘텐츠에 액세스할 수 없습니다.
3. 클라우드 서비스 공급자 직원이 인스턴스 스토리지 및 암호화된 EBS 볼륨에 저장된 고객 콘텐츠에 액세스할 수 있는 메커니즘이 없습니다.
4. 클라우드 서비스 공급자 직원이 네트워크를 통해 전송되는 암호화된 데이터에 액세스할 수 있는 메커니즘이 없습니다.
5. 관리 API에 액세스하려면 항상 인증 및 승인이 필요합니다.
6. 관리 API에 대한 액세스는 항상 기록됩니다.
7. 호스트는 인증되고 승인된 배포 서비스에서 배포한 테스트되고 서명된 소프트웨어만 실행할 수 있습니다. 클라우드 서비스 공급자 직원은 코드를 호스트에 직접 배포할 수 없습니다.

이 보고서는 이러한 각 주장에 대한 NCC의 분석을 자세히 설명합니다. NCC가 주장을 평가하는 데 사용한 범위, 방법론 및 단계에 대한 추가 세부 정보도 찾을 수 있습니다.

AWS Nitro System이 고객 데이터를 보호하는 방법

AWS에서는 고객, 특히 민감하거나 기밀 데이터가 있는 고객이 해당 데이터를 클라우드에 저장하는 것에 대해 걱정할 수 있음을 알고 있습니다. 그래서 귀하의 기밀 정보를 최대한 안전하게 보호하기 위해 Nitro 시스템을 설계했습니다. 다음과 같은 여러 가지 방법으로 이를 수행합니다.

IT 시스템이나 사람이 Amazon EC2 서버에 로그인하거나, EC2 인스턴스의 메모리를 읽거나, 암호화된 Amazon Elastic Block Store (EBS) 볼륨의 데이터에 액세스할 수 있는 메커니즘이 없습니다.

가장 높은 권한을 가진 사람을 포함하여 AWS 운영자가 EC2 서버에서 유지 관리 작업을 수행해야 하는 경우 엄격하게 제한된 인증, 승인 및 감사 관리 API 집합을 사용해야만 수행할 수 있습니다. 결정적으로 이러한 API 중 어느 것도 EC2 서버의 고객 데이터에 액세스할 수 없습니다. 이러한 제한은 Nitro 시스템 자체에 내장되어 있으며 AWS 운영자는 이러한 제어 및 보호를 우회할 수 없습니다.

Nitro 시스템은 또한 메모리 및 CPU 할당을 관리하는 경량 Nitro 하이퍼바이저의 혁신적인 설계를 통해 AWS 시스템 소프트웨어로부터 고객을 보호합니다. 일반적인 상용 하이퍼바이저는 관리자에게 시스템에 대한 전체 액세스 권한을 제공하지만 Nitro System에서는 운영자가 사용할 수 있는 유일한 인터페이스는 제한된 API입니다. 즉, 고객과 운영자는 승인되지 않은 방식으로 시스템과 상호 작용할 수 없으며 “루트” 사용자에 해당하는 사용자는 없습니다. 이 접근 방식은 보안을 강화하고 AWS가 백그라운드에서 시스템을 업데이트하고, 시스템 버그를 수정하고, 성능을 모니터링하고, 고객 작업이나 고객 데이터에 영향을 주지 않고 업그레이드를 수행할 수 있도록 합니다. 고객은 시스템 업그레이드 중에 영향을 받지 않으며 데이터는 계속 보호됩니다.

마지막으로 Nitro 시스템은 고객에게 자체 운영자 및 소프트웨어로부터 추가 데이터 격리 계층을 제공할 수도 있습니다. AWS는 격리된 컴퓨팅 환경을 허용하는 AWS Nitro Enclaves를 만들었습니다. 이는 컴퓨팅 인스턴스 내에서 의료, 금융 및 지적 재산 데이터뿐만 아니라 개인 식별 정보를 처리해야 하는 조직에 이상적입니다. 또한 Nitro Enclaves에는 배포된 모든 소프트웨어가 검증되었으며 손상되지 않았음을 고객이 확인할 수 있는 암호화 증명 기능이 있습니다.

Nitro System의 보안 및 기밀 컴퓨팅 기능의 이러한 모든 갈래는 AWS가 시스템 아키텍처 구축에 시간과 리소스를 투자하도록 요구했습니다. 고객이 자신의 가장 민감한 기밀 데이터를 우리에게 맡길 때 확신을 가질 수 있도록 하기 위해 그렇게 했으며 계속해서 그러한 신뢰를 얻기 위해 노력해 왔습니다. 아직 끝나지 않았으며 이는 AWS가 서비스 설계 및 운영 방식에 대한 투명성을 높이기 위해 취하는 한 단계일 뿐입니다. 우리는 성능 저하 없이 고객의 보안을 더욱 강화하는 고유한 기능을 지속적으로 혁신하고 제공할 것입니다.

– Anthony Liguori, AWS VP and Distinguished Engineer for EC2

참고 정보

AWS Nitro 시스템 보안에 대해 말하는 것을 시청해 보세요:

• NCC 보고서 읽어보기
• AWS Nitro 시스템의 보안 설계 백서 읽어보기
• AWS 디지털 주권 서약 정보
• NCC 보고서에 대한 Matt Garman의 블로그 글