CodeZine(コードジン)

特集ページ一覧

AWS Nitro Enclavesが一般提供開始、エンクレーブでAmazon EC2上の機密データを保護

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2020/11/05 08:00

 米Amazon Web Servicesは、「AWS Nitro Enclaves」の一般提供を、10月28日(現地時間)に開始した。

 AWS Nitro Enclavesは、分離されたコンピューティング環境(エンクレーブ)を作成して、Amazon EC2インスタンス内の個人識別情報(PII)、ヘルスケア、財務、知的財産データといった機密性の高いデータを保護し、より安全に処理できるようにする、新たなEC2機能。

 従来、Amazon EC2では保存時と転送時の両方で、アクセス制御と暗号化を行っているが、処理中に復号されるため、処理中のデータ保護のために個別のVPCをセットアップして、インスタンス上の不要なサードパーティソフトウェアを削除し、接続を制限し、ユーザーアクセスを制限する必要があった。

 エンクレーブは、個別の仮想マシンであり、永続的なストレージ、インタラクティブなアクセス、外部ネットワークが存在しないため、インスタンスのrootユーザーまたは管理者ユーザーであっても、エンクレーブにアクセスしたり、SSHで接続したりはできない。

 Nitro Enclavesは、Nitro Hypervisorの分離を使用して、エンクレーブのCPUとメモリを親インスタンス上のユーザー、アプリケーション、ライブラリからさらに分離する。エンクレーブと通信する唯一の方法は、エンクレーブに接続されている親インスタンスからローカルソケットを使用することで、EC2インスタンス内の機密性の高いデータ処理の、社内の管理者、開発者、その他EC2インスタンスからの分離を可能にしている。

 Nitro Enclavesアテステーションを使用すれば、エンクレーブのIDを確認して、承認されたコードのみがエンクレーブで実行されていることを確認できる。また、Nitro EnclavesはAWS Key Management Servicesと統合されており、エンクレーブ内で処理するために機密データを準備・保護するほか、エンクレーブを他のキー管理サービスと統合することも可能となっている。

 なお、Nitro Enclavesは任意のプログラミング言語またはフレームワークと互換性があり、プロセッサに依存せず、AWS Nitroシステム上に構築されたインテルおよびAMDベースのAmazon EC2インスタンスタイプの大部分で利用できる。さらに、AWS Graviton2ベースのインスタンスのサポートも、まもなく開始される。

 そのほか、AWS Certificate Manager(ACM)のパブリックおよびプライベートSSL/TLS証明書を、Nitro Enclavesを使用してAmazon EC2インスタンスで実行されているNGINXなどのWebアプリケーションおよびサーバで利用可能にする、リファレンスエンクレーブアプリケーションであるACM for Nitro Enclavesも用意している。

 Nitro Enclavesの利用にあたって、追加コストは発生せず、現時点ではUS East、US West、Europe、Asia Pacific、South Americaリージョンにて利用でき、今後は他のリージョンでも提供していく。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5