AWS - Nitro Enum
Grundlegende Informationen
AWS Nitro ist eine Suite von innovativen Technologien, die die zugrunde liegende Plattform für AWS EC2-Instanzen bilden. Von Amazon eingeführt, um die Sicherheit, Leistung und Zuverlässigkeit zu verbessern, nutzt Nitro benutzerdefinierte Hardwarekomponenten und einen leichten Hypervisor. Es abstrahiert einen Großteil der traditionellen Virtualisierungsfunktionalität auf dedizierte Hardware und Software, minimiert die Angriffsfläche und verbessert die Ressourceneffizienz. Durch die Auslagerung von Virtualisierungsfunktionen ermöglicht Nitro EC2-Instanzen die Bereitstellung von nahezu Bare-Metal-Leistung, was insbesondere für ressourcenintensive Anwendungen vorteilhaft ist. Darüber hinaus gewährleistet der Nitro Security Chip speziell die Sicherheit von Hardware und Firmware, was die robuste Architektur weiter festigt.
Nitro Enclaves
AWS Nitro Enclaves bietet eine sichere, isolierter Rechenumgebung innerhalb von Amazon EC2-Instanzen, die speziell für die Verarbeitung hochsensibler Daten entwickelt wurde. Unter Verwendung des AWS Nitro Systems gewährleisten diese Enklaven eine robuste Isolierung und Sicherheit, ideal für die Behandlung vertraulicher Informationen wie PII oder Finanzdaten. Sie verfügen über eine minimalistische Umgebung, die das Risiko einer Datenexposition erheblich reduziert. Darüber hinaus unterstützen Nitro Enclaves die kryptografische Beglaubigung, die es Benutzern ermöglicht zu überprüfen, dass nur autorisierter Code ausgeführt wird, was entscheidend ist, um strenge Compliance- und Datenschutzstandards aufrechtzuerhalten.
Nitro Enclave-Images werden innerhalb von EC2-Instanzen ausgeführt und Sie können nicht aus der AWS-Webkonsole erkennen, ob eine EC2-Instanz Bilder in Nitro Enclave ausführt oder nicht.
Nitro Enclave CLI-Installation
Befolgen Sie alle Anweisungen aus der Dokumentation. Hier sind jedoch die wichtigsten:
Nitro-Enklaven-Bilder
Die Bilder, die Sie in Nitro-Enklaven ausführen können, basieren auf Docker-Bildern. Sie können also Ihre Nitro-Enklaven-Bilder aus Docker-Bildern wie folgt erstellen:
Wie Sie sehen können, verwenden die Nitro Enclave-Images die Erweiterung eif
(Enclave Image File).
Die Ausgabe wird ähnlich aussehen:
Führen Sie ein Image aus
Gemäß der Dokumentation müssen Sie, um ein Enclave-Image auszuführen, ihm einen Arbeitsspeicher von mindestens 4-mal der Größe der eif
-Datei zuweisen. Es ist möglich, die Standardressourcen, die ihm zugewiesen werden sollen, in der Datei zu konfigurieren.
Denken Sie immer daran, dass Sie auch einige Ressourcen für die übergeordnete EC2-Instanz reservieren müssen!
Nachdem Sie die Ressourcen kennen, die einem Image zugewiesen werden sollen, und sogar die Konfigurationsdatei geändert haben, ist es möglich, ein Enclave-Image mit folgendem Befehl auszuführen:
Enklaven auflisten
Wenn Sie einen EC2-Host kompromittieren, ist es möglich, eine Liste der ausgeführten Enklavenbilder mit dem folgenden Befehl zu erhalten:
Es ist nicht möglich, eine Shell innerhalb eines laufenden Enklavenbilds zu erhalten, da dies der Hauptzweck der Enklave ist. Wenn Sie jedoch den Parameter --debug-mode
verwendet haben, ist es möglich, die stdout damit zu erhalten:
Beenden von Enclaves
Wenn ein Angreifer eine EC2-Instanz kompromittiert, wird er standardmäßig nicht in der Lage sein, eine Shell darin zu öffnen, aber er wird in der Lage sein, sie mit:
Vsocks
Der einzige Weg, um mit einem Enklave-Laufbild zu kommunizieren, ist die Verwendung von vsocks.
Virtual Socket (vsock) ist eine Socket-Familie in Linux, die speziell entwickelt wurde, um die Kommunikation zwischen virtuellen Maschinen (VMs) und ihren Hypervisoren oder zwischen den VMs selbst zu erleichtern. Vsock ermöglicht eine effiziente, bidirektionale Kommunikation, ohne auf den Netzwerkstack des Hosts angewiesen zu sein. Dadurch ist es möglich, dass VMs auch ohne Netzwerkkonfiguration kommunizieren können, indem sie eine 32-Bit-Context-ID (CID) und Portnummern verwenden, um Verbindungen zu identifizieren und zu verwalten. Die vsock-API unterstützt sowohl Stream- als auch Datagramm-Socket-Typen, ähnlich wie TCP und UDP, und bietet ein vielseitiges Werkzeug für Anwendungen auf Benutzerebene in virtuellen Umgebungen.
Daher sieht eine vsock-Adresse so aus: <CID>:<Port>
Um die CIDs der Enklave-Laufbilder zu finden, können Sie einfach den folgenden Befehl ausführen und den EnclaveCID
erhalten:
Beachten Sie, dass es vom Host aus keinen Weg gibt zu wissen, ob ein CID einen Port freigibt! Es sei denn, Sie verwenden einen vsock-Portscanner wie https://github.com/carlospolop/Vsock-scanner.
Vsock-Server/Listener
Hier finden Sie ein paar Beispiele:
Last updated