検索
ニュース

個人情報の処理に向く「Amazon EC2」の新機能「AWS Nitro Enclaves」、一般提供開始機密性の高いデータを簡単、安全に処理できる

Amazon Web Servicesは、IaaSである「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始した。ユーザーはAmazon EC2内に分離されたコンピュート環境を構築し、機密性の高いワークロードを保護できる。

Share
Tweet
LINE
Hatena

 Amazon Web Services(AWS)は2020年10月28日(米国時間)、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報(PII)や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。

 AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢(けんろう)なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。

 Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス(下図のInstance A)とEnclave(Enclave A)は、安全なローカルチャネルを利用して通信する。


AWS Nitro Enclavesの仕組み(出典:AWS

 他のシステムはもちろん、ユーザー組織内の他の個人も、Enclave内で動作するアプリケーションにはアクセスできない。AWS Nitro Enclavesのオーナーはこうした分離環境を利用して、Enclaveの開始や停止、Enclaveへのリソース割り当てを実行できる。ただしオーナーであっても、AWS Nitro Enclaves内で何が処理されているのかを見ることはできない。

 AWS Nitro Enclavesを使用する際、ユーザーはAmazon EC2インスタンスタイプを選択し、Enclaveに割り当てるCPUとメモリの量を指定できる。CPUコアとメモリのさまざまな組み合わせを柔軟に分割し、ワークロードのサイズやパフォーマンス要件に合わせて、リソースを割り当てることが可能だ。

 オープンソースの「AWS Nitro Enclaves SDK」で提供される一連のライブラリを使って、ユーザーはEnclaveアプリケーションを作成できる。このSDKは、「AWS Key Management Service(KMS)」と統合されているため、ユーザーはデータキーを生成し、Enclave内で復号できる。

SSL/TLS証明書の保護に向く

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る