米Amazon Web Servicesは、「AWS Nitro Enclaves」の一般提供を、10月28日(現地時間)に開始した。
AWS Nitro Enclavesは、分離されたコンピューティング環境(エンクレーブ)を作成して、Amazon EC2インスタンス内の個人識別情報(PII)、ヘルスケア、財務、知的財産データといった機密性の高いデータを保護し、より安全に処理できるようにする、新たなEC2機能。
従来、Amazon EC2では保存時と転送時の両方で、アクセス制御と暗号化を行っているが、処理中に復号されるため、処理中のデータ保護のために個別のVPCをセットアップして、インスタンス上の不要なサードパーティソフトウェアを削除し、接続を制限し、ユーザーアクセスを制限する必要があった。
エンクレーブは、個別の仮想マシンであり、永続的なストレージ、インタラクティブなアクセス、外部ネットワークが存在しないため、インスタンスのrootユーザーまたは管理者ユーザーであっても、エンクレーブにアクセスしたり、SSHで接続したりはできない。
Nitro Enclavesは、Nitro Hypervisorの分離を使用して、エンクレーブのCPUとメモリを親インスタンス上のユーザー、アプリケーション、ライブラリからさらに分離する。エンクレーブと通信する唯一の方法は、エンクレーブに接続されている親インスタンスからローカルソケットを使用することで、EC2インスタンス内の機密性の高いデータ処理の、社内の管理者、開発者、その他EC2インスタンスからの分離を可能にしている。
Nitro Enclavesアテステーションを使用すれば、エンクレーブのIDを確認して、承認されたコードのみがエンクレーブで実行されていることを確認できる。また、Nitro EnclavesはAWS Key Management Servicesと統合されており、エンクレーブ内で処理するために機密データを準備・保護するほか、エンクレーブを他のキー管理サービスと統合することも可能となっている。
なお、Nitro Enclavesは任意のプログラミング言語またはフレームワークと互換性があり、プロセッサに依存せず、AWS Nitroシステム上に構築されたインテルおよびAMDベースのAmazon EC2インスタンスタイプの大部分で利用できる。さらに、AWS Graviton2ベースのインスタンスのサポートも、まもなく開始される。
そのほか、AWS Certificate Manager(ACM)のパブリックおよびプライベートSSL/TLS証明書を、Nitro Enclavesを使用してAmazon EC2インスタンスで実行されているNGINXなどのWebアプリケーションおよびサーバで利用可能にする、リファレンスエンクレーブアプリケーションであるACM for Nitro Enclavesも用意している。
Nitro Enclavesの利用にあたって、追加コストは発生せず、現時点ではUS East、US West、Europe、Asia Pacific、South Americaリージョンにて利用でき、今後は他のリージョンでも提供していく。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です