BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Amazon EC2がNitroTPMとUEFIセキュアブートをサポート

Amazon EC2がNitroTPMとUEFIセキュアブートをサポート

原文(投稿日:2022/05/22)へのリンク

AWSは最近、UEFIセキュアブートとNitroTPMの一般向け提供を発表した。NitroTPMは、AWS Nitroシステムをベースとした、EC2インスタンス向けの仮想TPMモジュールである。この新機能は、ブートプロセスの検証、キーの保護、デジタル著作権管理のための設計となっている。

re:Inventで初めて紹介されたNitroTPMでは、Measured Bootが取り入れられている。これは、ブートローダーとオペレーティングシステムで、すべてのブートバイナリの暗号化ハッシュを作成し、それらを以前の値と紐づけるプロセスである。この機能を使って、インスタンスのブートソフトウェアの整合性をリモートエンティティに証明することができる。これにより、外部の検証機関(Remote Attestation)をサポートできる。

ハードウェアベースのセキュリティ機能を提供するために開発されたトラステッドプラットフォームモジュール(TPM)では、暗号化キー、クレデンシャル、その他の秘密データを、生成し、安全に保存し、また、その利用を制御できる。AWSの主任ディベロッパーアドボケートのSébastien Stormacq氏は、次のように説明している。

NitroTPMを使うとシークレットを保存することができます。シークレットとは、ディスク暗号化キーやSSHキーなどであり、EC2インスタンスメモリの外部にあります。こういったシークレットをインスタンスで実行されているアプリケーションから保護することができます。NitroTPMでは、Nitroシステムの独立性とセキュリティの特性を活かして、インスタンスのみがこれらのシークレットにアクセスできるように保証できます。物理的に分離すること、あるいはDiscrete TPMと同じ機能が提供されます。NitroTPMはISO TPM 2.0仕様に準拠しているため、TPMを活用する既存のオンプレミス処理をEC2に移行できるようになります。

AISTでサイバーフィジカルセキュリティ研究センターの主任研究員のKuniyasu Suzaki氏は、次のように尋ねている

いい感じだが、TPMの「所有権を取得」できるのでしょうか。これは、私TPMを所有し、他の人に共有されることないことを意味します。

Unified Extensible Firmware Interface(UEFI)セキュアブートは、インスタンスのブートフローの不正な変更を防ぐものである。これにより、UEFI不揮発性変数ストアのデータベースに格納されている暗号化キーで署名されたソフトウェアのみをインスタンスがブートするようにできる。

NitroTPMの他に、AWS NitroシステムにはNitro Cards、Nitro Security Chip、Nitro Hypervisor、Nitro Enclavesがある。Nitro Cardsは機能のIOをオフロードして高速化する一連のカード(専用ハードウェア)である。Nitro Hypervisorは、メモリとCPUの割り当てを管理する軽量ハイパーバイザーである。Nitro Enclavesは、機密性の高いデータをより高度に保護し、安全に処理するために分離されたコンピューティング環境を作成するためのものである。

現在、UEFIブートモードをサポートするIntelインスタンスタイプとAMDインスタンスタイプのみがサポートされている。 Graviton1、Graviton2、Xenベース、Mac、ベアメタルのインスタンスはサポートされていない。この制限により、コミュニティでいくつかの懸念が挙がった。

Stormacq氏は、なぜBitLockerボリューム暗号化キーが仮想TPMを使用する最初の候補として適しているかを説明している。

BitLockerは、使用できる場合、NitroTPMを自動で検出して使用します。BitLockerをインストールして設定する上で、インストール以外の設定手順はありません。インストール時に、BitLockerはTPMモジュールを識別し、自動的に使用を開始します。

NitroTPMとUEFIセキュアブートは、中国を除くすべてのAWSリージョンで利用できる。新機能を使うための追加費用はない。

作者について

この記事に星をつける

おすすめ度
スタイル

BT