Amazon-EC2-Instance-Attestierung

Die Attestierung ist ein Prozess, mit dem Sie jeder Partei kryptografisch nachweisen können, dass nur vertrauenswürdige Software, Treiber und Startprozesse auf einer Amazon-EC2-Instance ausgeführt werden. Die Amazon-EC2-Instance-Attestierung wird durch das Nitro Trusted Platform Module (NitroTPM) und Attestierbare AMIs unterstützt.

Der erste Schritt zur Attestierung besteht darin, ein attestierbares AMI zu erstellen und die Referenzmessungen dieses AMI zu bestimmen. Ein attestierbares AMI ist ein AMI, das von Grund auf für die Attestierung erstellt wurde. Bei den Referenzmessungen handelt es sich um Messungen Ihrer gesamten Software und Konfigurationen, die Sie in Ihr AMI aufgenommen haben. Weitere Informationen zum Ermitteln der Referenzmessungen finden Sie unter Beispiel-Image-Beschreibung erstellen.

Der nächste Schritt besteht darin, eine Nitro-TPM-fähige EC2-Instance mit dem attestierbaren AMI zu starten. Nachdem Sie die Instance gestartet haben, können Sie die NitroTPM-Tools verwenden, um das Attestierungsdokument zu generieren. Anschließend können Sie die tatsächlichen Messungen Ihrer EC2-Instance aus dem Attestierungsdokument mit den Referenzmessungen vergleichen, um zu überprüfen, ob die Instance über die Software und Konfigurationen verfügt, denen Sie vertrauen.

Indem Sie die während der Erstellung des attestierbaren AMI generierten Referenzmessungen mit den Messungen vergleichen, die im Attestierungsdokument einer Instance enthalten sind, können Sie überprüfen, ob nur Software und Code, denen Sie vertrauen, auf der Instance ausgeführt werden.

Integration mit AWS KMS

Um den Vergleich von Messungen zu vereinfachen, können Sie AWS Key Management Service (AWS KMS) als Prüfer für Attestierungsdokumente verwenden. Mit AWS KMS können Sie auf Attestierungen basierende KMS-Schlüsselrichtlinien erstellen, die bestimmte Vorgänge mit dem KMS-Schlüssel nur zulassen, wenn Sie ein Attestierungsdokument mit Messwerten bereitstellen, die den Referenzmessungen entsprechen. Dazu fügen Sie Ihren KMS-Schlüsselrichtlinien, die die Referenzmessungen als Bedingungsschlüsselwerte verwenden, spezifische Bedingungsschlüssel hinzu und geben dann an, welche KMS-Vorgänge zulässig sind, wenn der Bedingungsschlüssel erfüllt ist.

Wenn Sie KMS-Vorgänge mit dem KMS-Schlüssel ausführen, müssen Sie der KMS-Anfrage ein Attestierungsdokument beifügen. AWS KMS validiert dann die Messungen aus dem Attestierungsdokument anhand der Referenzmessungen in der KMS-Schlüsselrichtlinie und erlaubt den Schlüsselzugriff nur, wenn die Messungen übereinstimmen.

Wenn Sie das Attestierungsdokument für eine Instance generieren, müssen Sie außerdem einen öffentlichen Schlüssel für ein Schlüsselpaar angeben, das Sie besitzen. Der angegebene öffentliche Schlüssel ist im Attestierungsdokument enthalten. Wenn AWS KMS das Attestierungsdokument validiert und eine Entschlüsselung erlaubt, verschlüsselt es die Antwort automatisch mit dem öffentlichen Schlüssel, der im Attestierungsdokument enthalten ist, bevor sie zurückgegeben wird. Dadurch wird sichergestellt, dass die Antwort entschlüsselt werden kann und nur mit dem entsprechenden privaten Schlüssel für den öffentlichen Schlüssel, der in der Bescheinigung enthalten ist, entschlüsselt und verwendet werden kann.

Dadurch wird sichergestellt, dass nur Instances, auf denen vertrauenswürdige Software und vertrauenswürdiger Code ausgeführt werden, kryptografische Vorgänge mit einem KMS-Schlüssel ausführen können.

Attestierung isolierter Rechenumgebungen

Im Allgemeinen können Sie eine EC2-Instance als isolierte Rechenumgebung erstellen und konfigurieren, die keinen interaktiven Zugriff und keinen Mechanismus für Ihre Administratoren und Benutzer bietet, um auf die Daten zuzugreifen, die in der EC2-Instance verarbeitet werden. Mit der EC2-Instance-Attestierung können Sie einem Drittanbieter oder Service nachweisen, dass Ihre Instance als isolierte Rechenumgebung ausgeführt wird. Weitere Informationen finden Sie unter Isolieren Sie Daten von Ihren eigenen Bedienern.

Ein Beispiel finden Sie in der Beispiel-Image-Beschreibung für Amazon Linux 2023, die eine isolierte Rechenumgebung erstellt. Sie können diese Beispiel-Image-Beschreibung als Ausgangspunkt verwenden und sie an Ihre Anforderungen anpassen.

AWS-Modell der geteilten Verantwortung

NitroTPM und attestierbare AMIs sind Bausteine, die Ihnen bei der Einrichtung und Konfiguration der Attestierung auf Ihren EC2-Instances helfen können. Sie sind dafür verantwortlich, das AMI so zu konfigurieren, dass es Ihrem jeweiligen Anwendungsfall entspricht. Weitere Informationen finden Sie unter AWS-Modell der geteilten Verantwortung.