AWS - Nitro Enum
Taarifa Msingi
AWS Nitro ni seti ya teknolojia za ubunifu ambazo hufanya jukwaa la msingi kwa ajili ya visa vya AWS EC2. Iliyotolewa na Amazon ili kuimarisha usalama, utendaji, na uaminifu, Nitro inatumia vipengele vya vifaa maalum na hypervisor nyepesi. Inaficha sehemu kubwa ya utendaji wa kawaida wa uvirtualization kwa vifaa na programu maalum, kupunguza eneo la shambulio na kuboresha ufanisi wa rasilimali. Kwa kuchukua majukumu ya uvirtualization, Nitro inaruhusu visa vya EC2 kutoa utendaji karibu sawa na chuma cha msingi, ikifanya iwe hasa faida kwa maombi yanayohitaji rasilimali nyingi. Aidha, Chip ya Usalama ya Nitro inahakikisha usalama wa vifaa na firmware, ikithibitisha muundo wake imara zaidi.
Mabweni ya Nitro
AWS Nitro Enclaves hutoa mazingira salama, yaliyotengwa ndani ya visa vya Amazon EC2, yaliyoundwa kwa usindikaji wa data nyeti sana. Kwa kutumia Mfumo wa AWS Nitro, mabweni haya hutoa utengamano na usalama imara, yanayofaa kwa kusimamia habari za siri kama PII au rekodi za kifedha. Yanajumuisha mazingira ya minimalist, kupunguza hatari kubwa ya kufichua data. Aidha, Mabweni ya Nitro hutoa uthibitisho wa kriptografia, kuruhusu watumiaji kuhakiki kuwa kanuni iliyoruhusiwa pekee ndiyo inayotumika, muhimu kwa kudumisha viwango vya utekelezaji kali na ulinzi wa data.
Picha za Mabweni ya Nitro zinaendeshwa kutoka ndani ya visa vya EC2 na huwezi kuona kutoka kwenye konsoli ya wavuti ya AWS ikiwa visa vya EC2 vinakimbia picha katika Mabweni ya Nitro au la.
Usanidi wa CLI wa Mabweni ya Nitro
Fuata maagizo yote kutoka kwenye hati ya maelezo. Hata hivyo, haya ndiyo muhimu zaidi:
Picha za Ngome ya Nitro
Picha ambazo unaweza kuendesha kwenye Ngome ya Nitro zinategemea picha za docker, hivyo unaweza kuunda picha zako za Ngome ya Nitro kutoka kwenye picha za docker kama:
Kama unavyoona picha za Nitro Enclave hutumia kifaa cha eif
(Faili ya Picha ya Enclave).
Matokeo yatafanana na:
Tekeleza Picha
Kulingana na hati ya maelezo, ili kuendesha picha ya enklei unahitaji kuiwekea kumbukumbu ya angalau mara 4 ya ukubwa wa faili ya eif
. Inawezekana kusanidi rasilimali za msingi za kumpa katika faili hiyo.
Kumbuka daima kwamba unahitaji kuhifadhi baadhi ya rasilimali kwa ajili ya kifaa cha mzazi cha EC2 pia!
Baada ya kujua rasilimali za kutoa kwa picha na hata kubadilisha faili ya usanidi, ni rahisi kuendesha picha ya ngome na:
Kagua Enclaves
Ikiwa umefanikiwa kudukua mwenyeji wa EC2 inawezekana kupata orodha ya picha za enclaves zinazoendeshwa kwa:
Haiwezekani kupata ganda ndani ya picha ya enklevu inayoendeshwa kwa sababu hiyo ndiyo lengo kuu la enklevu, hata hivyo, ikiwa ulitumia parameter --debug-mode
, inawezekana kupata stdout yake kwa:
Kukomesha Enclaves
Ikiwa mshambuliaji atahatarisha kifaa cha EC2 kwa chaguo-msingi hataweza kupata kifaa cha kuingilia, lakini ataweza kukomesha kifaa hicho kwa:
Vsock
Njia pekee ya kuwasiliana na enclave inayotumia picha ni kutumia vsocks.
Virtual Socket (vsock) ni familia ya soketi katika Linux iliyoundwa kwa kusudi maalum la kurahisisha mawasiliano kati ya mashine za kawaida (VMs) na hypervisors yao, au kati ya VMs wao wenyewe. Vsock inawezesha mawasiliano ya pande zote bila kutegemea safu ya mtandao ya mwenyeji. Hii inawezesha VMs kuwasiliana hata bila mipangilio ya mtandao, kwa kutumia Kitambulisho cha Muktadha cha biti 32 (CID) na nambari za bandari kutambua na kusimamia uhusiano. API ya vsock inasaidia aina za soketi za mtiririko na datagramu, kama TCP na UDP, hivyo kuwa chombo cha kipekee kwa matumizi ya programu katika mazingira ya vitengo vya kielelezo.
Hivyo, anwani ya vsock inaonekana kama hii: <CID>:<Port>
Ili kupata CIDs za picha zinazoendesha eneo la kujificha unaweza tu kutekeleza cmd ifuatayo na kupata EnclaveCID
:
Tambua kwamba kutoka kwa mwenyeji hakuna njia ya kujua ikiwa CID inafunua bandari yoyote! Isipokuwa kwa kutumia baadhi ya skana ya bandari ya vsock kama https://github.com/carlospolop/Vsock-scanner.
Mfumo/Msikilizaji wa Vsock
Pata hapa mifano michache:
Last updated