個人情報の処理に向く「Amazon EC2」の新機能「AWS Nitro Enclaves」、一般提供開始:機密性の高いデータを簡単、安全に処理できる
Amazon Web Servicesは、IaaSである「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始した。ユーザーはAmazon EC2内に分離されたコンピュート環境を構築し、機密性の高いワークロードを保護できる。
Amazon Web Services(AWS)は2020年10月28日(米国時間)、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報(PII)や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。
AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢(けんろう)なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。
Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス(下図のInstance A)とEnclave(Enclave A)は、安全なローカルチャネルを利用して通信する。
他のシステムはもちろん、ユーザー組織内の他の個人も、Enclave内で動作するアプリケーションにはアクセスできない。AWS Nitro Enclavesのオーナーはこうした分離環境を利用して、Enclaveの開始や停止、Enclaveへのリソース割り当てを実行できる。ただしオーナーであっても、AWS Nitro Enclaves内で何が処理されているのかを見ることはできない。
AWS Nitro Enclavesを使用する際、ユーザーはAmazon EC2インスタンスタイプを選択し、Enclaveに割り当てるCPUとメモリの量を指定できる。CPUコアとメモリのさまざまな組み合わせを柔軟に分割し、ワークロードのサイズやパフォーマンス要件に合わせて、リソースを割り当てることが可能だ。
オープンソースの「AWS Nitro Enclaves SDK」で提供される一連のライブラリを使って、ユーザーはEnclaveアプリケーションを作成できる。このSDKは、「AWS Key Management Service(KMS)」と統合されているため、ユーザーはデータキーを生成し、Enclave内で復号できる。
SSL/TLS証明書の保護に向く
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本政府がAWSを採用したからといってデジタル化が進むわけではない理由
Amazon Web Servicesを採用した日本の中央官庁向け共通IT基盤が稼働を開始しました。他の公共機関や、場合によっては民間もクラウド調達の参考にできそうな、新たな調達方法が考案されています。ただし、本当の課題解決はこれからだと考えられます。
ナビタイムはコストを半減、「スポットインスタンスを制する者はAWSのコスト最適化を制する」
「Amazon EC2」の購入オプションは複雑ですが、うまく使えばコストを大きく引き下げられるとされるのがスポットインスタンスです。ナビタイムジャパンは、これを使ってEC2のコストを半減できたといいます。
AWS re:Invent 2019における、インフラ/データベースに関する大量発表の文脈
Amazon Web Services(AWS)は12月第1週に開催した「AWS re:Invent 2019」で、同社が定義する意味での「値下げ」は発表しなかった。代わりに、インフラ関連では自社開発ハードウェアの活用をはじめ、「あの手この手」でパフォーマンスあるいはコストパフォーマンスを向上させる自社の取り組みをアピールした。