AWS Nitro Enclavesが一般提供開始、エンクレーブでAmazon EC2上の機密データを保護

　米Amazon Web Servicesは、「AWS Nitro Enclaves」の一般提供を、10月28日（現地時間）に開始した。

　AWS Nitro Enclavesは、分離されたコンピューティング環境（エンクレーブ）を作成して、Amazon EC2インスタンス内の個人識別情報（PII）、ヘルスケア、財務、知的財産データといった機密性の高いデータを保護し、より安全に処理できるようにする、新たなEC2機能。

　従来、Amazon EC2では保存時と転送時の両方で、アクセス制御と暗号化を行っているが、処理中に復号されるため、処理中のデータ保護のために個別のVPCをセットアップして、インスタンス上の不要なサードパーティソフトウェアを削除し、接続を制限し、ユーザーアクセスを制限する必要があった。

　エンクレーブは、個別の仮想マシンであり、永続的なストレージ、インタラクティブなアクセス、外部ネットワークが存在しないため、インスタンスのrootユーザーまたは管理者ユーザーであっても、エンクレーブにアクセスしたり、SSHで接続したりはできない。

　Nitro Enclavesは、Nitro Hypervisorの分離を使用して、エンクレーブのCPUとメモリを親インスタンス上のユーザー、アプリケーション、ライブラリからさらに分離する。エンクレーブと通信する唯一の方法は、エンクレーブに接続されている親インスタンスからローカルソケットを使用することで、EC2インスタンス内の機密性の高いデータ処理の、社内の管理者、開発者、その他EC2インスタンスからの分離を可能にしている。

　Nitro Enclavesアテステーションを使用すれば、エンクレーブのIDを確認して、承認されたコードのみがエンクレーブで実行されていることを確認できる。また、Nitro EnclavesはAWS Key Management Servicesと統合されており、エンクレーブ内で処理するために機密データを準備・保護するほか、エンクレーブを他のキー管理サービスと統合することも可能となっている。

　なお、Nitro Enclavesは任意のプログラミング言語またはフレームワークと互換性があり、プロセッサに依存せず、AWS Nitroシステム上に構築されたインテルおよびAMDベースのAmazon EC2インスタンスタイプの大部分で利用できる。さらに、AWS Graviton2ベースのインスタンスのサポートも、まもなく開始される。

　そのほか、AWS Certificate Manager（ACM）のパブリックおよびプライベートSSL／TLS証明書を、Nitro Enclavesを使用してAmazon EC2インスタンスで実行されているNGINXなどのWebアプリケーションおよびサーバで利用可能にする、リファレンスエンクレーブアプリケーションであるACM for Nitro Enclavesも用意している。

　Nitro Enclavesの利用にあたって、追加コストは発生せず、現時点ではUS East、US West、Europe、Asia Pacific、South Americaリージョンにて利用でき、今後は他のリージョンでも提供していく。