AWS Confidential Computing
Амазон выкатил новую фичу AWS Nitro Enclaves:
https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/
Что такое Confidential Computing?
Достаточно популярны и известны подходы к защите данных путём их шифрования
Исторический экскурс
Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:
https://habr.com/ru/company/intel/blog/385171/
На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:
https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html
Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).
https://signal.org/blog/private-contact-discovery/
Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:
https://habr.com/ru/company/eset/blog/308968/
Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:
https://habr.com/ru/company/southbridge/blog/518564/
И вот, наконец, наши — AWS Nitro Enclaves!
Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.
Совершенно изолированный Docker
Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью
На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.
Как это работает?
Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!
https://register.virtual.awsevents.com/
...продолжение следует.
#Nitro
Амазон выкатил новую фичу AWS Nitro Enclaves:
https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/
Что такое Confidential Computing?
Достаточно популярны и известны подходы к защите данных путём их шифрования
at-rest
и in-transit
. Однако есть ещё третья часть, самая сложная и проблемная — in-use
. Ведь при выполнении приложения сохранённые и присланные данные должны быть расшифрованы и тут их враги всегда имеют возможность подменить или утащить.Исторический экскурс
Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:
https://habr.com/ru/company/intel/blog/385171/
На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:
https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html
Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).
https://signal.org/blog/private-contact-discovery/
Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:
https://habr.com/ru/company/eset/blog/308968/
Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:
https://habr.com/ru/company/southbridge/blog/518564/
И вот, наконец, наши — AWS Nitro Enclaves!
Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.
Совершенно изолированный Docker
Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью
nitro-cli
конвертируем наш докер-образ в eif-формат и запускаем абсолютно изолированный докер! Что не совсем корректно, т.к. всё же это отдельная виртуалка, но по сути именно так.На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.
Как это работает?
Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!
https://register.virtual.awsevents.com/
...продолжение следует.
#Nitro
In-transit шифрование
Есть некоторые типы виртуалок для особо озабоченных безопасностью внутрисетевого трафика. На текущий момент следующие типы виртуалок имеют железное шифрование AES-256, которое #Nitro даёт им совершенно бесплатно и без потери производительности:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit
#EC2 #paranoid #security
Есть некоторые типы виртуалок для особо озабоченных безопасностью внутрисетевого трафика. На текущий момент следующие типы виртуалок имеют железное шифрование AES-256, которое #Nitro даёт им совершенно бесплатно и без потери производительности:
C5a, C5ad, C5n, G4, I3en, M5dn, M5n, P3dn, R5dn и R5n
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit
#EC2 #paranoid #security
Amazon
Data protection in Amazon EC2 - Amazon Elastic Compute Cloud
Learn how the AWS shared responsibility model applies to data protection in Amazon Elastic Compute Cloud.
EC2 Serial Console — возможность подключиться к виртуалке как если бы она крутилась на вашем компьютере:
https://aws.amazon.com/blogs/aws/troubleshoot-boot-and-networking-issues-with-new-ec2-serial-console/
Очередная новая фича #Nitro виртуалок (то есть лишь для современных). Правда стоит отметить, что сам способ такого подключения у многих провайдеров был изначально.
В общем, очень полезная вещь, особенно в критических ситуациях, когда виртуалка вдруг перестаёт стартовать и нет способа понять почему.
#EC2
https://aws.amazon.com/blogs/aws/troubleshoot-boot-and-networking-issues-with-new-ec2-serial-console/
Очередная новая фича #Nitro виртуалок (то есть лишь для современных). Правда стоит отметить, что сам способ такого подключения у многих провайдеров был изначально.
В общем, очень полезная вещь, особенно в критических ситуациях, когда виртуалка вдруг перестаёт стартовать и нет способа понять почему.
#EC2
Amazon
Troubleshoot Boot and Networking Issues with New EC2 Serial Console | Amazon Web Services
Fixing production issues is one of the key responsibilities of system and network administrators. In fact, I’ve always found it to be one of the most interesting parts of infrastructure engineering. Diving as deep as needed into the problem at hand, not only…
The Security Design of the AWS Nitro System
https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/the-nitro-system-journey.html
The AWS Nitro System is a combination of purpose-built server designs, data processors, system management components, and specialized firmware which provide the underlying platform for all Amazon EC2 instances launched since the beginning of 2018.
Three key components of the Nitro System achieve these goals:
◻️ Purpose-built Nitro Cards — Hardware devices designed by AWS that provide overall system control and input/output (I/O) virtualization independent of the main system board with its CPUs and memory.
◻️ The Nitro Security Chip — Enables a secure boot process for the overall system based on a hardware root of trust, the ability to offer bare metal instances, as well as defense in depth that offers protection to the server from unauthorized modification of system firmware.
◻️ The Nitro Hypervisor — A deliberately minimized and firmware-like hypervisor designed to provide strong resource isolation, and performance that is nearly indistinguishable from a bare metal server.
This paper provides a high-level introduction to virtualization and the fundamental architectural change introduced by the Nitro System.
#Nitro #security
https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/the-nitro-system-journey.html
The AWS Nitro System is a combination of purpose-built server designs, data processors, system management components, and specialized firmware which provide the underlying platform for all Amazon EC2 instances launched since the beginning of 2018.
Three key components of the Nitro System achieve these goals:
◻️ Purpose-built Nitro Cards — Hardware devices designed by AWS that provide overall system control and input/output (I/O) virtualization independent of the main system board with its CPUs and memory.
◻️ The Nitro Security Chip — Enables a secure boot process for the overall system based on a hardware root of trust, the ability to offer bare metal instances, as well as defense in depth that offers protection to the server from unauthorized modification of system firmware.
◻️ The Nitro Hypervisor — A deliberately minimized and firmware-like hypervisor designed to provide strong resource isolation, and performance that is nearly indistinguishable from a bare metal server.
This paper provides a high-level introduction to virtualization and the fundamental architectural change introduced by the Nitro System.
#Nitro #security
💥 Graviton3E + Nitro v5 = C7gn and HPC7g
https://aws.amazon.com/blogs/aws/new-amazon-ec2-instance-types-in-the-works-c7gn-r7iz-and-hpc7g/
C7gn and HPC7g
▹
▹
▹
#Graviton3E #Nitro
https://aws.amazon.com/blogs/aws/new-amazon-ec2-instance-types-in-the-works-c7gn-r7iz-and-hpc7g/
C7gn and HPC7g
▹
CPU
⇨ up to 64 vCPUs▹
Memory
⇨ up to 128 GiB▹
Network
⇨ up to 200 Gbps#Graviton3E #Nitro