みなさん、こんにちは。サニービュー事業部の小寺です。
今月のアップデートで、2 つの新しいセキュリティおよび互換性機能である NitroTPM (Trusted Platform Module (TPM) 2.0 準拠)、および Amazon EC2 での Unified Extensible Firmware Interface (UEFI) セキュアブートがGAになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/05/amazon-ec2-nitrotpm-uefi-secure-boot/

AWS Nitro System(ナイトロシステム)とは?

AWSのNitro Systemについて、耳にしたことも多いと思います。
簡単に解説していきます。

AWSクラウド独自の基盤技術である「Nitro System」(ナイトロシステムと発音する)は、仮想マシンを提供するAmazon EC2を実現するための仮想化技術です。CPU、メモリ、アクセラレータなどさまざまな機能が Nitro でモジュール化され、コンピュート、ストレージ、メモリ、ネットワークのオプションの可能性を広げ、様々なAmazon EC2インスタンスが提供されるようになりました。

AWS Nitro Systemは3つの要素で構成されています。
・Nitro Cards
・Nitro Security Chip
・Nitro Hypervisor

AWS Nitro SystemはKVMベースの軽量なハイパーバイザであるNitro Hypervisorと、ネットワークやストレージの処理を行うNitro Card、そしてサーバのファームウェアやイメージの整合性チェックなどを含むNitroセキュリティチップです。

https://pages.awscloud.com/rs/112-TZM-766/images/20211014_EC2_Event_01_HIstory_of_EC2_2021.pdfより引用

Nitro Systemでは元々は、ホストOSで行っていたネットワーク、ストレージ、セキュリティの処理を専用のハードウェアであるNitro Systemにオフロードします。そのため、Amazon EC2の性能が上がっています。
※オフロード : あるシステムの負荷を他の機器などが肩代わりして軽減し、システム全体の性能向上を図ること

つまりNitro Systemによって、AWSでのイノベーションが加速したといっても良いでしょう。

TPMとは?

NitroTPM は TPM 2.0 仕様に準拠しています。
そもそもTPMとは何でしょうか。TPM(Trusted Platform Module)は、デバイス上で様々なセキュリティ機能を提供するためのモジュールです。暗号化用アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリ(鍵などを保管)などを備えていて、TPM内への暗号キーの作成や使用制限をするために利用されます。
TPMには、1.2と2.0の2つがあり、2.0では機能が大幅に強化されています。1.2はデータ保護がメインで、2.0では、外部から不正アクセスによる“なりすまし”なども防ぐことができるようになっています。Windows 11からTMP2.0に準拠するようになっています。

本アップデートから、AWS Nitro System を使用すると、NitroTPM によって EC2 インスタンスがキーにアクセスせずにキーを生成、保存、使用できるようになりました。また、NitroTPM は、認証メカニズムを介して暗号化証明を提供することにより、インスタンスの整合性を認証することもできます。

Nitro TPMを使うための条件

NitroTPM の使用を開始するには、以下の前提条件を満たす必要があるので、注意が必要です。

・TPM 2.0 用の Command Response Buffer (CRB) ドライバーが搭載されたオペレーティングシステム (最近のバージョンの Windows や Linux など) を使用する必要があります。これまでに、Red Hat Enterprise Linux 8、SUSE Linux Enterprise Server 15、Ubuntu 18.04、Ubuntu 20.04、ならびに Windows Server 2016、2019、および 2022 が検証済です。

・Nitro ベースの EC2 インスタンスにデプロイする必要があります。現時点では、UEFI ブートモードをサポートするインテルおよび AMD のすべてのインスタンスタイプをサポートしています。Graviton1、Graviton2、Xen ベース、Mac、およびベアメタルインスタンスはサポートされていません。

・現在、NitroTPM は一部の追加のインスタンスタイプでは機能しませんが、これらのインスタンスタイプはリリース後まもなくサポートされる予定です。C6a、C6i、G4ad、G4dn、G5、Hpc6a、I4i、M6a、M6i、P3dn、R6i、T3、T3a、U-12tb1、U-3tb1、U-6tb1、U-9tb1、X2idn、X2iedn、および X2iezn が予定されています。

・独自の AMI を作成するときは、UEFI をブートモードとして使用し、NitroTPM を使用するようフラグを付ける必要があります。AWS が提供する Windows AMI には、デフォルトでフラグが付けられます。Linux ベースの AMI にはデフォルトではフラグが付いていません。独自に作成する必要があります。

UEFIセキュアブートとは

Unified Extensible Firmware Interface(UEFI)セキュアブートとは、簡単に説明すると、起動する前に改ざんなどの不正がないかどうかをチェックするためのセキュリティ機能のことです。EC2 の既存のセキュアブートプロセスに基づいて構築されていて、EC2の再起動後も持続する脅威からソフトウェアを保護するための多層防御が利用できるようになっています。

GAになった2022年5月時点では、、UEFI ブートモードをサポートするインテルおよび AMD のすべてのインスタンスタイプをサポートしています。Graviton1、Graviton2、Xen ベース、Mac、およびベアメタルインスタンスはサポートされていません。

対応リージョンと費用について

NitroTPMとUEFIセキュアブートは、中国のリージョンを除くすべてのAWSリージョンで利用できます。 新機能を使用するための追加費用はありません。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!