AWS - Nitro Enum
Taarifa za Msingi
AWS Nitro ni suite ya teknolojia za ubunifu zinazounda jukwaa la msingi kwa AWS EC2 instances. Iliyotambulishwa na Amazon ili kuboresha usalama, utendaji, na uaminifu, Nitro inatumia vijenzi vya vifaa maalum na hypervisor nyepesi. Inachukua sehemu kubwa ya utendaji wa kawaida wa uhalisia na kuuweka kwenye vifaa na programu maalum, kupunguza uso wa shambulio na kuboresha ufanisi wa rasilimali. Kwa kuhamisha kazi za uhalisia, Nitro inaruhusu EC2 instances kutoa utendaji karibu na bare-metal, na kuifanya kuwa na manufaa hasa kwa programu zinazohitaji rasilimali nyingi. Zaidi ya hayo, Chip ya Usalama ya Nitro inahakikisha usalama wa vifaa na firmware, ikithibitisha zaidi usanifu wake thabiti.
Nitro Enclaves
AWS Nitro Enclaves hutoa mazingira salama, ya kujitenga ndani ya Amazon EC2 instances, iliyoundwa mahsusi kwa ajili ya kuchakata data nyeti sana. Kwa kutumia Mfumo wa AWS Nitro, enclaves hizi zinahakikisha kutengwa na usalama wa hali ya juu, bora kwa kushughulikia taarifa za siri kama PII au rekodi za kifedha. Zinajumuisha mazingira ya kimsingi, kupunguza sana hatari ya kufichua data. Zaidi ya hayo, Nitro Enclaves zinaunga mkono uthibitisho wa cryptographic, kuruhusu watumiaji kuthibitisha kwamba ni msimbo ulioruhusiwa tu unaoendesha, muhimu kwa kudumisha viwango vikali vya kufuata na ulinzi wa data.
Picha za Nitro Enclave zinaendeshwa kutoka ndani ya EC2 instances na huwezi kuona kutoka kwenye console ya wavuti ya AWS kama EC2 instances inaendesha picha kwenye Nitro Enclave au la.
Ufungaji wa Nitro Enclave CLI
Fuata maagizo yote kutoka kwenye nyaraka. Hata hivyo, haya ndiyo muhimu zaidi:
Picha za Nitro Enclave
Picha ambazo unaweza kuendesha katika Nitro Enclave zinategemea picha za docker, kwa hivyo unaweza kuunda picha zako za Nitro Enclave kutoka kwa picha za docker kama:
Kama unavyoona picha za Nitro Enclave zinatumia kiendelezi eif
(Enclave Image File).
Matokeo yataonekana kama:
Run an Image
Kama ilivyoelezwa katika hati, ili kuendesha picha ya enclave unahitaji kuipatia kumbukumbu ya angalau mara 4 ya ukubwa wa faili ya eif
. Inawezekana kusanidi rasilimali za chaguo-msingi za kuipatia katika faili
Kumbuka kila mara kwamba unahitaji kuhifadhi baadhi ya rasilimali kwa ajili ya mzazi EC2 pia!
Baada ya kujua rasilimali za kutoa kwa picha na hata kubadilisha faili ya usanidi inawezekana kuendesha picha ya enclave na:
Tambua Enclaves
Ikiwa utadukua mwenyeji wa EC2 inawezekana kupata orodha ya picha za enclave zinazoendesha kwa:
Ni haiwezekani kupata shell ndani ya picha ya enclave inayoendesha kwa sababu hiyo ndiyo madhumuni kuu ya enclave, hata hivyo, ikiwa ulitumia parameter --debug-mode
, inawezekana kupata stdout yake na:
Terminate Enclaves
Ikiwa mshambulizi atapata udhibiti wa EC2 instance kwa chaguo-msingi hataweza kupata shell ndani yake, lakini ataweza kuizima na:
Vsocks
Njia pekee ya kuwasiliana na enclave inayoendesha picha ni kutumia vsocks.
Virtual Socket (vsock) ni familia ya soketi katika Linux iliyoundwa mahsusi kuwezesha mawasiliano kati ya mashine za kawaida (VMs) na hypervisors zao, au kati ya VMs wenyewe. Vsock inawezesha mawasiliano yenye ufanisi, ya pande mbili bila kutegemea stack ya mtandao ya mwenyeji. Hii inafanya iwezekane kwa VMs kuwasiliana hata bila usanidi wa mtandao, kutumia 32-bit Context ID (CID) na nambari za bandari kutambua na kudhibiti miunganisho. API ya vsock inasaidia aina zote za soketi za mkondo na datagram, sawa na TCP na UDP, ikitoa zana inayobadilika kwa programu za kiwango cha mtumiaji katika mazingira ya kawaida.
Kwa hivyo, anwani ya vsock inaonekana kama hii: <CID>:<Port>
Ili kupata CIDs za picha zinazoendesha enclave unaweza tu kutekeleza cmd ifuatayo na kupata EnclaveCID
:
Kumbuka kuwa kutoka kwa mwenyeji hakuna njia yoyote ya kujua kama CID inafichua bandari yoyote! Isipokuwa kutumia vsock port scanner kama https://github.com/carlospolop/Vsock-scanner.
Vsock Server/Listener
Pata hapa mifano michache:
Last updated