QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

AWS Nitro Enclaves – 隔离 EC2 环境以处理机密数据

  • 2020-11-29

  • 本文字数:3299 字

    阅读完需:约 11 分钟

AWS Nitro Enclaves – 隔离 EC2 环境以处理机密数据

AWS Nitro 系统进行的第一次介绍如下:


Nitro 系统是一个能够以多种不同方式组合的丰富构建块集合,可以让我们灵活地设计并快速交付 EC2 实例类型,并提供不断增加的计算、存储、内存和网络选项。


到目前为止,我们已经使用这些构建块实现了这一承诺,并已推出(举几个例子来说)M5C5R5T3I3A1P3dnz1d高内存实例。我们快速增长的实例集合旨在满足同样快速增长的客户需求和要求。


一项新的隔离挑战


金融服务、国防、媒体和娱乐以及生命科学各行各业的 AWS 客户都会在 AWS 云上定期处理高度敏感的数据。他们在执行此操作时,需要防止内部和外部威胁,而且需要处理涉及到多个互不信任的合作伙伴、供应商、客户和员工的复杂情况。如今,他们使用 VPC 创建连接受控、有限的高度隔离环境,仅限有限用户集访问该环境。


Nitro Enclaves


今天,我们推出 AWS Nitro Enclaves,以此来解决此重要需求。您可以使用此服务在任何由 Nitro 系统提供支持的 EC2 实例上创建隔离环境。Nitro 系统已隔离在同一硬件上运行的多个 EC2 实例。Nitro Enclaves 通过分隔单个“父级”EC2 实例的 CPU 和内存来提供额外的隔离,防止高度敏感的数据被在同一个实例上运行的其他用户或应用程序访问。该环境经证明非常安全,且不会被在父级 EC2 实例上运行的其他应用程序、用户或进程访问。它非常灵活,旨在满足要求最苛刻的生产工作负载的需求,并使您能够完全控制分配给隔离环境的内存量和处理能力。


我们在推出该服务时支持为每个 EC2 实例创建单个 Enclave,并将在未来增加对多个 Enclave 的支持。您可以将实例的所有核心(仅一个除外)(使用超线程处理器的实例上的 2 个 vCPU)以及几乎所有的内存用于您的 Enclave:



每个 Enclave 运行一个独立的内核,并且可以独占访问内存和 CPU 资源。Enclave 没有外部网络连接,没有持久存储,也没有用户访问权限(即使拥有完全 IAM 权限)。流入和流出 Enclave 的所有数据都会通过在 EC2 实例上终止的本地虚拟套接字 (vsock) 连接移动。



Nitro 管理程序在创建每个 Nitro Enclave 时会创建并签署证明文档。该文档包含(除其他外)一组平台配置注册表 (PCR),它们可提供引导过程的密码学可靠性测量值。这些值附加到 KMS 密钥策略时,用于验证是否使用了预期的映像、操作系统、应用程序、IAM 角色和实例 ID 来创建 Enclave。KMS 执行此验证步骤后,将执行在 Enclave 中运行的代码所请求的所需 API 操作(解密、生成数据密钥或生成随机值)。


创建和使用 Enclave


实例必须运行包含新 Nitro CLI 的 AMI。按设计,这些工具在托管 Enclave 的实例上运行。实例本身必须在启用 enclave-enabled 选项的情况下启动:


$ aws ec2 run-instances ...  --enclave-options Enabled=true
复制代码


为方便起见,可以将 Docker 映像用作 Enclave 映像 (*.eif) 的依据。我使用 Nitro CLI 存储库中的 hello 示例来构建 docker 映像:


$ docker build hello -t hello
复制代码


然后再构建 EIF:


$ nitro-cli build-enclave --docker-uri hello:latest --output-file hello.eif
复制代码


正如我前面提到的,PCR 用于验证预期的映像,内核和应用程序是否在 Enclave 中运行。以下是我构建 EIF 时生成的三个 PCR:


  • PCR0 – 映像的 SHA384 哈希值。

  • PCR1 – 操作系统内核和引导过程的 SHA384 哈希值。

  • PCR2 – 应用程序的 SHA384 哈希值。


Start building the Enclave Image...Start building the Enclave Image...Enclave Image successfully created.Enclave Image successfully created.{  "Measurements": {    "HashAlgorithm": "Sha384 { ... }",    "PCR0": "951f851181bb490bd112b8ab855e40e3ac60c0dcc31e408c5b8485f85c4db276b1753b401dcc0a787ff79c2fae81b3ae",    "PCR1": "aca6e62ffbf5f7deccac452d7f8cee1b94048faf62afc16c8ab68c9fed8c38010c73a669f9a36e596032f0b973d21895",    "PCR2": "242201df93225622132c9f3b0c315fbc85485c6aa7a2ced2491d5a290c015c053d5d5a7028b13f3a23a22c2e529d29de"  }}
复制代码


接下来,我启动 Enclave(我使用调试模式进行测试):


$ nitro-cli run-enclave --eif-path hello.eif --memory 512 --cpu-count 2 --debug-modeStart allocating memory...Started enclave with enclave-cid: 21, memory: 512 MiB, cpu-ids: [1, 9]{  "EnclaveID": "i-070d1d4d2f0389aea-enc1755616f36f444b",  "ProcessID": 4720,  "EnclaveCID": 21,  "NumberOfCPUs": 2,  "CPUIDs": [    1,    9  ],  "MemoryMiB": 512}
复制代码


我的 Enclave 如下所示:


$ nitro-cli describe-enclaves[  {    "EnclaveID": "i-070d1d4d2f0389aea-enc1755616f36f444b",    "ProcessID": 4720,    "EnclaveCID": 21,    "NumberOfCPUs": 2,    "CPUIDs": [      1,      9    ],    "MemoryMiB": 512,    "State": "RUNNING",    "Flags": "DEBUG_MODE"  }]
复制代码


接下来看看控制台输出(仅在调试模式下提供):


$ nitro-cli console --enclave-id i-070d1d4d2f0389aea-enc1755616f36f444bConnecting to the console for enclave 21...Successfully connected to the console.Command line: reboot=k panic=30 pci=off nomodules console=ttyS0 i8042.noaux i8042.nomux i8042.nopnp i8042.dumbkbd random.trust_cpu=on virtio_mmio.device=4K@0xd0000000:5 virtio_mmio.device=4K@0xd0001000:6[    0.000000] x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'[    0.000000] x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'...
[   1] Hello from the enclave side![   2] Hello from the enclave side![   3] Hello from the enclave side![   4] Hello from the enclave side![   5] Hello from the enclave side!
复制代码


在真实的生产场景中,我的映像将被配置用来启动我的 Enclave 应用程序代码。我的代码将使用 Nitro Enclaves 开发工具包与 KMS 通信,以获取密钥并解密传入的数据。它还会使用 KMS 提供的数据密钥在任何数据被处理后对其进行加密。


当我完成了 Enclave 的所有操作后,我将终止它:


$ nitro-cli terminate-enclave --enclave-id i-070d1d4d2f0389aea-enc1755616f36f444bSuccessfully terminated enclave i-070d1d4d2f0389aea-enc1755616f36f444b.{  "EnclaveID": "i-070d1d4d2f0389aea-enc1755616f36f444b",  "Terminated": true}
复制代码


证明


至此,我已向您展示如何设置、运行及最后终止 Enclave。下面我们来谈谈极为重要的证明概念。简而言之,证明是一个过程,它可以让您确定在 Enclave 中运行的映像、操作系统和应用程序代码没有被无意中修改或以任何方式篡改。如前所述,PCR 值提供了每个元素的密码学可靠性表示。在真实环境中,我将创建一个 KMS 密钥策略,以将 PCR 值作为 Condition 语句的一部分进行检查:


"Condition": {        "StringEqualsIgnoreCase": {          "kms:RecipientAttestation:ImageSha384": "ecfd7aa6d1dcca1e0bba646e7d49ede2761651c68f13cee68b1141c182cd836baae37d05dd8e6260aa847369a7b27e24"        }
复制代码


适用于 Nitro Enclaves 的 AWS Certificate Manager 是一个示例应用程序,该应用程序允许您将免费的公有和私有 SSL/TLS 证书与在具有 AWS Nitro Enclaves 的 EC2 实例上运行的 Web 应用程序和 Web 服务器一起使用。要了解更多信息,请阅读 Nitro Enclaves 应用程序:适用于 Nitro Enclaves 的 AWS Certificate Manager


现已推出


您可以立即开始在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、欧洲(法兰克福)、欧洲(爱尔兰)、欧洲(伦敦)、欧洲(巴黎)、欧洲(斯德哥尔摩)、亚太地区(香港)、亚太地区(孟买)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)和南美洲(圣保罗)区域基于 Intel 和 AMD 处理器上立即创建和使用 Enclave,无需额外费用,更多区域及对基于 Graviton 的处理器的支持即将推出。您只需按通常费率为 EC2 实例以及对 KMS 的任何调用付费。


Jeff


本文转载自亚马逊 AWS 官方博客。


原文链接


AWS Nitro Enclaves – 隔离 EC2 环境以处理机密数据


划线
评论
复制
2020-11-29 14:001314
文章版权归极客邦科技InfoQ所有,未经许可不得转载。
硬件软件工程亚马逊云科技操作系统微服务芯片与网络后端架构云计算企业动态

评论

发布
暂无评论

更多内容推荐

发现更多内容

推荐阅读

电子书

大厂实战PPT下载

换一换
    AI是协作者,而非替代者——探讨AI高效协作开发
    AI是协作者,而非替代者——探讨AI高效协作开发

    Scott Shaw | Thoughtworks 亚太区 CTO

    立即下载
    去哪儿网测试环境体系设计与实践

    刘丹 | 去哪儿网 测试高级经理

    立即下载
    如何做好互联网亿级流量架构

    叶波 博士 | 美团 研究员

    立即下载

微软校园大使喊你来秋招啦!

DawnMagnet

dvwa 通关记录1 - 暴力破解 Brute Force

Todd-Lee

渗透测试 DVWA

PDF转Word有那么难吗?做一个文件转换器,都解决了

IC00

C# 签约计划第三季

LeetCode第三题(Longest Substring Without Repeating Characters)三部曲之一:解题思路

程序员欣宸

LeetCode 8月月更

Java中的引用

flow

签约计划第三季

物无定味适口者珍,Python3并发场景(CPU密集/IO密集)任务的并发方式的场景抉择(多线程threading/多进程multiprocessing/协程asyncio)

刘悦的技术博客

多线程 协程 多进程 Python3 Python.

鲲鹏编译调试插件实战

乌龟哥哥

8月月更

GRPC MacOS M1 处理器的问题

HoneyMoose

前端食堂技术周刊第 46 期:Chrome 三方 cookie 计划、npm 引入更多安全增强功能、Awesome Bun

童欧巴

Linux npm Cookie

Python 教程之输入输出(1)—— 在 Python 中接受输入

海拥(haiyong.site)

Python 8月月更

【高并发项目实战】自适应高并发复杂场景的订单拆分算法工具

小明Java问道之路

高可用 高并发 高性能 签约计划第三季 8月月更

【Go实现】实践GoF的23种设计模式:迭代器模式

元闰子

Go 设计模式 迭代器模式

Nacos配置中心之加载配置

急需上岸的小谢

8月月更

好好活就是做有意义的事,有意义的事就是好好活

宇宙之一粟

8月月更

小程序容器+自定义插件,可实现混合App快速开发

Speedoooo

小程序 插件 APP开发

让你10分钟就能看懂Linux文件权限(超级详细、超级简单!!!)

Albert Edison

Linux centos linux 文件权限控制 8月月更

Linux性能调优之内存负载调优的一些笔记

山河已无恙

签约计划第三季

【SeaTunnel】从一个数据集成组件演化成企业级的服务

Apache SeaTunnel

大数据 微服务 数据处理 数据集成 大数据 开源

毕业作业-设计电商秒杀系统

Fan

#架构实战营

如何优雅的消除系统重复代码

慕枫技术笔记

设计模式 代码 签约计划第三季 8月月更

开源一夏|要有遥不可及的梦想,也要有脚踏实地的本事

坚果

开源 HarmonyOS OpenHarmony 8月月更

leetcode 204. Count Primes 计数质数 (Easy)

okokabcd

LeetCode 算法与数据结构

Android编译系统初探

桑榆

8月月更

系统可用性:SRE口中的3个9,4个9...到底是个什么东西?

董哥的黑板报

运维 后端 可用性 SRE

学习英语的网站与资料

玄兴梦影

学习 英语

你认同这个观点吗?大多数企业的数字化都只是为了缓解焦虑

雨果

数字化转型 数字化

企业公众号文章写作方向:如何写出读者认可的优质内容

石头IT视角

如何给 UE4 场景添加游戏角色

HelloWorld杰少

c++ 游戏 UE5 8月月更

SRv6 L3VPN的工作原理

穿过生命散发芬芳

8月月更 SRv6

Serverless基础知识

阿泽🧸

Serverless 8月月更

一、《图解HTTP》- WEB和网络基础

懒时小窝

图解https

Copyright © 2025, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号 | 产品资质
AWS Nitro Enclaves – 隔离 EC2 环境以处理机密数据_硬件_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章