Amazon Web Servicesは、IaaSである「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始した。ユーザーはAmazon EC2内に分離されたコンピュート環境を構築し、機密性の高いワークロードを保護できる。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Amazon Web Services(AWS)は2020年10月28日(米国時間)、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報(PII)や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。
AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢(けんろう)なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。
Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス(下図のInstance A)とEnclave(Enclave A)は、安全なローカルチャネルを利用して通信する。
他のシステムはもちろん、ユーザー組織内の他の個人も、Enclave内で動作するアプリケーションにはアクセスできない。AWS Nitro Enclavesのオーナーはこうした分離環境を利用して、Enclaveの開始や停止、Enclaveへのリソース割り当てを実行できる。ただしオーナーであっても、AWS Nitro Enclaves内で何が処理されているのかを見ることはできない。
AWS Nitro Enclavesを使用する際、ユーザーはAmazon EC2インスタンスタイプを選択し、Enclaveに割り当てるCPUとメモリの量を指定できる。CPUコアとメモリのさまざまな組み合わせを柔軟に分割し、ワークロードのサイズやパフォーマンス要件に合わせて、リソースを割り当てることが可能だ。
オープンソースの「AWS Nitro Enclaves SDK」で提供される一連のライブラリを使って、ユーザーはEnclaveアプリケーションを作成できる。このSDKは、「AWS Key Management Service(KMS)」と統合されているため、ユーザーはデータキーを生成し、Enclave内で復号できる。
Copyright © ITmedia, Inc. All Rights Reserved.