亚马逊正在努力为Linux内核提供上游支持,以支持AWS Entro Niclaves,以进一步隔离EC2云中的高度敏感数据。
如AWS页面上所述: AWS Nitro Enclaves 使客户能够创建隔离的计算环境来进一步保护和安全地处理高度敏感的数据,例如其 Amazon EC2 实例中的个人身份信息 (PII)、医疗保健、金融和知识产权数据。Nitro Enclaves 使用为 EC2 实例提供 CPU 和内存隔离的相同 Nitro 管理程序技术。 Nitro Enclaves 可帮助客户减少他们用于处理最敏感数据的应用程序的攻击面。安全区域提供了隔离的、增强的且约束性很高的环境来托管安全关键应用程序。Nitro Enclaves 包含针对软件的密码证明,这样可确保仅运行授权代码以及与 AWS Key Management Service 的集成,从而确保只有您的安全区域能访问敏感材料。 安全区域是连接到 EC2 实例的虚拟机,不具备持久性存储、管理员或操作员访问权限,只提供与 EC2 实例的安全本地连接。 亚马逊工程师正在尝试将Nitro Enclaves功能纳入上游Linux内核,以便通过Elastic Compute Cloud中运行的许多Linux发行版更容易支持此EC2功能。 用于处理高度敏感数据的此功能可旋转一个安全区,该安全区与生成该安全区的VM一起运行。该区域的资源是从分配给现有VM的内存和vCPU中提取出来的。 NWS Nitro飞地和VM之间的通信是使用VirtIO-Vsock完成的,而飞地本身没有磁盘或网络访问权限。 Nitro Enclaves内核支持引入了新的内核ioctl和逻辑,用于以针对KVM的方式处理安全区的创建和资源分配。那些想了解更多有关Nitro Enclaves对上游Linux内核的支持的人可以通过此补丁系列来实现。 |
