AWSでは最近、Nitro Enclavesが利用できるようになった。これは、機密データを処理するための分離されたEC2環境である。軽量Linux OSがベースのNitro Enclaveは、強化され、保証されており、高度な制約がある仮想マシンである。
新しいサービスには永続ストレージや管理者アクセスはない。そして、EC2インスタンス内の機密性の高いデータをより高度に保護し、機密性の高いデータ処理アプリケーションの攻撃対象となる領域を減らすための他から分離させる。AWSのチーフエバンジェリストであるJeff Barr氏は、主な使用例について次のように説明している。
金融サービス、防衛、メディア&エンターテインメント、ライフサイエンスなど、さまざまな業界のAWSの顧客は、AWSクラウドで機密性の高いデータを日常的に処理しています。このときは、内部および外部の脅威から保護する必要があり、相互に信頼のないパートナー、ベンダー、顧客、および従業員が関与する複雑な状況に対処する必要があります。現在、VPCを使用して、接続が制限され、制限されたユーザのみがアクセスできる、高度に分離された環境を作成しています。
顧客は、新しい機能を使用して、より大規模な汎用オペレーティングシステム環境でなく、分離された実行環境にデータを分割して保護できる。保護された仮想マシンを提供するクラウドプロバイダーはAWSだけではない。Azureはハードウェアベースの信頼できる実行環境(TEE)を提供し、Google Cloudは最近、Confidential VM機能を発表した。
GrowthOpsとAWSコミュニティビルダーのクラウドエンジニアであるRichard Fan氏が、AWS Nitro EnclavesでPythonアプリケーションを実行する方法についての記事を書き、新機能がどのように機能するかを要約している。
AWS Nitro Enclavesは、EC2インスタンスの横で実行される分離された環境です。EC2インスタンスのCPUおよびメモリリソースを使用しますが、ハイパーバイザーレベルではインスタンスから分離されているため、OSレベルでもインスタンスはエンクレーブにアクセスできません。エンクレーブと通信できる唯一の方法は、vsockチャネルを使用することです。
彼はGitHubでプロジェクトを作成し、Pythonソケットパッケージを使用してEC2インスタンスとNitro Enclave間の通信を確立し、プロキシを使用してエンクレーブ内からHTTPS呼び出しを行う方法をデモした。
CoinTextの最高技術責任者であるVin Armani氏は、デジタル通貨での新機能の採用の可能性を示唆している。
この新しいAWS Nitro Enclavesは興味深いものです。私の推測では、これらは暗号交換で非常に人気が出るでしょう。これは、Simple Ledger Postage ProtocolおよびSWaP Protocolサービスを提供するサーバに最適なツールのようです。
別の発表で、AWS Certificate Managerに、Nitro Enclavesを介したEC2でのホスト終端TLSのサポートが追加された。これにより、AWS Nitro Enclavesを使用してEC2インスタンスで実行されているWebアプリケーションおよびWebサーバで無料のパブリックおよびプライベートSSL/TLS証明書を使用できる。
いくつかの制限がある。現時点では、Nitro EnclavesのACMはNGINXとのみ統合され、証明書をインストールし、期限切れの証明書を置き換える。Nitro Enclavesは現在、IntelおよびAMDベースのプロセッサでのみサポートされており、使用可能な最小のインスタンスはm5a.xlargeである。EC2インスタンスごとに強靭な1つの環境のみがサポートされる。新しいサービスには追加料金はかからないが、親インスタンスの費用がかかる。