個人情報の処理に向く「Amazon EC2」の新機能「AWS Nitro Enclaves」、一般提供開始：機密性の高いデータを簡単、安全に処理できる

Amazon Web Servicesは、IaaSである「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始した。ユーザーはAmazon EC2内に分離されたコンピュート環境を構築し、機密性の高いワークロードを保護できる。

[＠IT]

　Amazon Web Services（AWS）は2020年10月28日（米国時間）、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報（PII）や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。

　AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢（けんろう）なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。

　Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス（下図のInstance A）とEnclave（Enclave A）は、安全なローカルチャネルを利用して通信する。

AWS Nitro Enclavesの仕組み（出典：AWS）

　他のシステムはもちろん、ユーザー組織内の他の個人も、Enclave内で動作するアプリケーションにはアクセスできない。AWS Nitro Enclavesのオーナーはこうした分離環境を利用して、Enclaveの開始や停止、Enclaveへのリソース割り当てを実行できる。ただしオーナーであっても、AWS Nitro Enclaves内で何が処理されているのかを見ることはできない。

　AWS Nitro Enclavesを使用する際、ユーザーはAmazon EC2インスタンスタイプを選択し、Enclaveに割り当てるCPUとメモリの量を指定できる。CPUコアとメモリのさまざまな組み合わせを柔軟に分割し、ワークロードのサイズやパフォーマンス要件に合わせて、リソースを割り当てることが可能だ。

　オープンソースの「AWS Nitro Enclaves SDK」で提供される一連のライブラリを使って、ユーザーはEnclaveアプリケーションを作成できる。このSDKは、「AWS Key Management Service（KMS）」と統合されているため、ユーザーはデータキーを生成し、Enclave内で復号できる。

SSL/TLS証明書の保護に向く

　AWSは今回、Enclaveアプリケーション「AWS Certificate Manager（ACM）for Nitro Enclaves」もリリースした。Amazon EC2で動作するWebサーバのSSL/TLS（Secure Sockets Layer/Transport Layer Security）証明書をACM for Nitro Enclavesによって簡単に保護、管理できる。

　ACM for Nitro Enclavesを使うと、Enclave内でSSL/TLS証明書をユーザー環境の他のユーザーやアプリケーションによるアクセスから保護できる。

　ACM for Nitro Enclavesは、これらの証明書と関連付けられた機密データがEnclaveの外に出ないようにするとともに、証明書の失効と更新を管理する。手動でモニタリングする必要がなくなり、証明書の失効時にWebサーバを再構成する必要性もなくなる。

利用できるインスタンスとリージョンは？

　「AWS Nitro System」上に構築されたIntelベースとAMDベースのAmazon EC2インスタンスタイプの大部分でAWS Nitro Enclavesを利用できる。2021年前半にAWS Graviton2ベースのインスタンスもサポートされる。

　AWS Nitro Enclavesは米州、欧州、東京リージョンを含むアジアの一部のリージョンで提供が始まった。提供リージョンは近いうちに拡大される予定だ。