AWS - Nitro Enum

Temel Bilgiler

AWS Nitro, AWS EC2 örnekleri için temel platformu oluşturan yenilikçi teknolojiler setidir. Amazon tarafından güvenliği, performansı ve güvenilirliği artırmak amacıyla tanıtılan Nitro, özel donanım bileşenleri ve hafif bir hipervizör kullanır. Geleneksel sanallaştırma işlevlerinin çoğunu özel donanım ve yazılıma soyutlayarak, saldırı yüzeyini minimize eder ve kaynak verimliliğini artırır. Sanallaştırma işlevlerini devrederek, Nitro'nun EC2 örneklerinin neredeyse bare-metal performansı sunmasına olanak tanır, bu da kaynak yoğun uygulamalar için özellikle faydalıdır. Ayrıca, Nitro Güvenlik Çipi, donanım ve yazılım güvenliğini sağlamak için özel olarak tasarlanmıştır ve sağlam mimarisini daha da güçlendirir.

Nitro Enclaves

AWS Nitro Enclaves, Amazon EC2 örnekleri içinde güvenli, izole bir hesaplama ortamı sağlar ve özellikle son derece hassas verilerin işlenmesi için tasarlanmıştır. AWS Nitro Sistemi'nden yararlanarak, bu enclaves güçlü izolasyon ve güvenlik sağlar, PII veya finansal kayıtlar gibi gizli bilgilerin işlenmesi için idealdir. Minimalist bir ortam sunarak, veri ifşası riskini önemli ölçüde azaltır. Ayrıca, Nitro Enclaves, kullanıcıların yalnızca yetkili kodun çalıştığını doğrulamasına olanak tanıyan kriptografik onaylamayı destekler; bu, sıkı uyum ve veri koruma standartlarının korunması için kritik öneme sahiptir.

Nitro Enclave CLI kurulumu

Tüm talimatları belgeden takip edin. Ancak, en önemli olanlar şunlardır:

# Install tools
sudo amazon-linux-extras install aws-nitro-enclaves-cli -y
sudo yum install aws-nitro-enclaves-cli-devel -y

# Config perms
sudo usermod -aG ne $USER
sudo usermod -aG docker $USER

# Check installation
nitro-cli --version

# Start and enable the Nitro Enclaves allocator service.
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

Nitro Enclave Görüntüleri

Nitro Enclave'de çalıştırabileceğiniz görüntüler, docker görüntülerine dayanmaktadır, bu nedenle Nitro Enclave görüntülerinizi şu şekilde docker görüntülerinden oluşturabilirsiniz:

# You need to have the docker image accesible in your running local registry
# Or indicate the full docker image URL to access the image
nitro-cli build-enclave --docker-uri <docker-img>:<tag> --output-file nitro-img.eif

Nitro Enclave görüntülerinin eif (Enclave Image File) uzantısını kullandığını görebilirsiniz.

Çıktı şu şekilde görünecektir:

Using the locally available Docker image...
Enclave Image successfully created.
{
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}

Bir Görüntü Çalıştır

belgelere göre, bir enclave görüntüsü çalıştırmak için ona eif dosyasının boyutunun en az 4 katı kadar bellek atamanız gerekir. Dosyada ona verilecek varsayılan kaynakları yapılandırmak mümkündür.

/etc/nitro_enclaves/allocator.yaml

Bir görüntüye verilecek kaynakları bildikten ve yapılandırma dosyasını değiştirdikten sonra, bir enclave görüntüsünü çalıştırmak mümkündür:

# Restart the service so the new default values apply
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

# Indicate the CPUs and memory to give
nitro-cli run-enclave --cpu-count 2 --memory 3072 --eif-path hello.eif --debug-mode --enclave-cid 16

Enclaves'ı Listele

Eğer bir EC2 sunucusunu ele geçirirseniz, çalışan enclave görüntülerinin bir listesini almak mümkündür:

nitro-cli describe-enclaves

Çalışan bir enclave görüntüsünde bir shell almak mümkün değildir çünkü enclave'in ana amacı budur, ancak --debug-mode parametresini kullanırsanız, bunun stdout'sunu almak mümkündür:

ENCLAVE_ID=$(nitro-cli describe-enclaves | jq -r ".[0].EnclaveID")
nitro-cli console --enclave-id ${ENCLAVE_ID}

Enklaveleri Sonlandır

Eğer bir saldırgan bir EC2 örneğini ele geçirirse, varsayılan olarak içlerinde bir shell elde edemeyecek, ancak onları sonlandırma yeteneğine sahip olacaktır:

nitro-cli terminate-enclave --enclave-id ${ENCLAVE_ID}

Vsocks

Bir enclave çalışan görüntüsü ile iletişim kurmanın tek yolu vsocks kullanmaktır.

Virtual Socket (vsock), sanal makineler (VM'ler) ile hypervisor'lar arasında veya VM'ler arasında iletişimi kolaylaştırmak için özel olarak tasarlanmış bir soket ailesidir. Vsock, ana bilgisayarın ağ yığınına güvenmeden verimli, iki yönlü iletişim sağlar. Bu, VM'lerin ağ yapılandırmalarına ihtiyaç duymadan iletişim kurmasını mümkün kılar, bağlantıları tanımlamak ve yönetmek için 32 bit Context ID (CID) ve port numaraları kullanır. Vsock API, TCP ve UDP'ye benzer şekilde hem akış hem de datagram soket türlerini destekleyerek sanal ortamlardaki kullanıcı düzeyindeki uygulamalar için çok yönlü bir araç sağlar.

Çalışan görüntülerin CIDs'lerini bulmak için aşağıdaki komutu çalıştırabilir ve EnclaveCID'yi alabilirsiniz:

nitro-cli describe-enclaves

[
{
"EnclaveName": "secure-channel-example",
"EnclaveID": "i-0bc274f83ade02a62-enc18ef3d09c886748",
"ProcessID": 10131,
    "EnclaveCID": 16,
    "NumberOfCPUs": 2,
"CPUIDs": [
1,
3
],
"MemoryMiB": 1024,
"State": "RUNNING",
"Flags": "DEBUG_MODE",
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}
]

Vsock Sunucu/Dinleyici

Burada birkaç örnek bulabilirsiniz:

• https://github.com/aws-samples/aws-nitro-enclaves-workshop/blob/main/resources/code/my-first-enclave/secure-local-channel/server.py

</details>
```bash
# Using socat
socat VSOCK-LISTEN:<port>,fork EXEC:"echo Hello from server!"