Membangun lingkungan komputasi rahasia dengan menggunakan Enclave - Elastic Compute Service

Topik ini menjelaskan cara membuat ruang isolasi tepercaya dengan menggunakan fitur Alibaba Cloud Enclave untuk melindungi aplikasi dan data Anda.

Informasi latar belakang

Data diklasifikasikan menjadi data at rest, data in transit, dan data in use.

Keamanan data at rest dan data in transit dapat dijamin melalui enkripsi.
Keamanan data in use lebih sulit dijamin. Komputasi rahasia umumnya digunakan untuk melindungi data tersebut.

Fitur Enclave menyediakan enklaf sebagai ruang isolasi tepercaya dalam instans Elastic Compute Service (ECS) dan mengenkapsulasi operasi aman dari perangkat lunak sah di dalam enklaf guna menjamin kerahasiaan serta integritas kode dan data Anda terhadap serangan malware. Fitur ini cocok untuk bisnis yang memerlukan perlindungan kuat terhadap data sensitif dan rahasia, seperti di industri keuangan, Internet, dan kesehatan.

Cara kerja Enclave

Sumber daya komputasi (termasuk vCPU dan memori) dalam sebuah instans ECS (VM utama) dipisahkan untuk membuat VM Enclave (EVM), yang berfungsi sebagai lingkungan eksekusi tepercaya. Faktor-faktor berikut berkontribusi terhadap keamanan EVM:

Teknologi virtualisasi dasar menyediakan isolasi demi keamanan. EVM diisolasi dari VM utama dan instans ECS lainnya.
EVM menjalankan sistem operasi (OS) yang independen, disesuaikan, dan tepercaya. EVM tidak memiliki penyimpanan persisten, koneksi interaktif, atau saluran jaringan eksternal, serta hanya berkomunikasi dengan VM utama melalui saluran aman lokal berbasis vsock untuk meminimalkan permukaan serangan. Anda dapat menjalankan aplikasi yang melibatkan data rahasia di dalam EVM dan berinteraksi secara aman dengan aplikasi yang berjalan di VM utama.

Gambar berikut menunjukkan cara kerja fitur Enclave.

Fitur Enclave menyediakan keamanan multi-lapis. Di lapisan dasar, arsitektur SHENLONG generasi ketiga, bersama dengan chip Trusted Platform Module (TPM) atau Trust Cryptography Module (TCM), menyediakan perangkat vTPM atau vTCM bagi EVM untuk meningkatkan kemampuan keamanan dan kepercayaan. Di lapisan atas, SDK yang sangat kompatibel disediakan untuk membantu Anda membangun dan menggunakan lingkungan Enclave dengan cepat. Untuk kemampuan attestation, Anda dapat memverifikasi kode yang berjalan di lingkungan eksekusi rahasia, misalnya dengan menggunakan SDK. Aplikasi rahasia dapat menghasilkan materi attestation—termasuk data platform, informasi aplikasi, dan tanda tangan—pada waktu proses dan memverifikasinya menggunakan server attestation jarak jauh, yang dapat bekerja sama dengan Key Management Service (KMS). Ketika VM utama mengalokasikan sumber daya ke EVM dan EVM mulai berjalan, lapisan dasar mengisolasi sumber daya tersebut untuk memastikan bahwa VM utama tidak dapat mengakses sumber daya vCPU atau memori EVM, sehingga mengamankan operasi dan privasi EVM.

Gambar berikut menunjukkan arsitektur fitur Enclave.

Batasan

Hanya tipe instans dengan empat vCPU atau lebih dalam keluarga instans hfg9i, hfc9i, hfr9i, g8i, c8i, dan r8i yang mendukung fitur Enclave.
Anda hanya dapat membuat satu enklaf untuk setiap instans ECS.
Sebelum menggunakan enklaf, cadangkan setidaknya satu core prosesor fisik dan sebagian memori untuk VM utama. Sisa sumber daya dapat dialokasikan secara fleksibel ke enklaf. Jika Hyper-Threading diaktifkan, dua hyperthread dari core prosesor fisik yang sama akan dicadangkan. Oleh karena itu, instans ECS yang diaktifkan fitur Enclavenya harus memiliki setidaknya empat vCPU.

Untuk informasi tentang batasan lainnya, lihat Batasan.

Membuat instans yang diaktifkan Enclave

Prosedur untuk membuat instans ECS yang diaktifkan fitur Enclave di Konsol ECS mirip dengan pembuatan instans ECS biasa. Namun, Anda harus memperhatikan parameter tertentu. Bagian ini berfokus pada parameter yang terkait dengan instans yang diaktifkan Enclave pada halaman pembelian instans. Untuk informasi tentang parameter lainnya, lihat Membuat instans di tab Peluncuran Kustom.

Buka Konsol ECS - Instans.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari sumber daya yang ingin Anda kelola.

Klik Create Instance dan konfigurasikan parameter dalam tabel berikut.

Parameter	Deskripsi
Instance Type	Pilih tipe instans dengan empat vCPU atau lebih dalam keluarga instans hfg9i, hfc9i, hfr9i, g8i, c8i, atau r8i.
Image	Pilih Enclave lalu pilih citra Alibaba Cloud Linux 2.1903 LTS 64-bit (UEFI). Catatan Saat Anda memilih Enclave, sistem operasi tepercaya akan dipasang secara otomatis.
Instance RAM Role	Pilih AliyunECSInstanceForYundunSysTrustRole, yaitu peran terkait layanan yang disediakan oleh Alibaba Cloud.

Menginstal Enclave CLI

Instal Docker pada instans yang diaktifkan Enclave.
Gunakan Workbench untuk terhubung ke instans yang diaktifkan Enclave melalui SSH.

Instal paket RPM Package Manager (RPM) dari Enclave CLI.

Unduh paket RPM dari Enclave CLI.

wget https://enclave-cn-beijing.oss-cn-beijing.aliyuncs.com/download/linux/enclave-cli/x86_64/2.1903/enclave-cli-1.0.8-1.x86_64.rpm

Instal Enclave CLI.

sudo rpm -ivh enclave-cli-1.0.8-1.x86_64.rpm

Periksa versi Enclave CLI.
```
enclave-cli --version
```
Jika versi ditampilkan, Enclave CLI telah berhasil diinstal.

Tambahkan pengguna saat ini ke grup de dan docker.
1. Jalankan perintah berikut untuk menambahkan pengguna saat ini ke grup de:
```
sudo usermod -aG de <username>
```
  Catatan
  Ganti <username> dengan nama pengguna sebenarnya. Contoh: test.
2. Tambahkan pengguna saat ini ke grup docker.
```
sudo usermod -aG docker <username>
```
  Catatan
  Ganti <username> dengan nama pengguna sebenarnya. Contoh: test.
3. Sambungkan ulang ke instans agar pengaturan diterapkan.
Alokasikan sebelumnya vCPU dan memori ke enklaf.
1. Buka berkas konfigurasi allocator.yaml.
```
sudo vim /etc/ali-enclaves/allocator.yaml
```
2. Tekan tombol i untuk memasuki mode Insert.
3. Ubah parameter berikut:
  - memory_mib: jumlah memori yang dialokasikan ke enklaf. Satuan: MiB.
  - cpu_count: jumlah vCPU yang dialokasikan ke enklaf.
  Potongan kode contoh berikut menunjukkan bahwa enklaf dialokasikan memori 1.024 MiB dan 2 vCPU.
```
# Enclave configuration file.
#
# How much memory to allocate for enclaves (in MiB).
memory_mib: 1024
#
# How many CPUs to reserve for enclaves.
cpu_count: 2
```
4. Tekan tombol Esc, masukkan :wq, lalu tekan tombol Enter untuk menyimpan dan menutup berkas.
Jalankan layanan alokasi sumber daya enklaf dan konfigurasikan layanan agar berjalan saat instans dimulai.
```
sudo systemctl start ali-enclaves-allocator.service && \
sudo systemctl enable ali-enclaves-allocator.service
```
Layanan alokasi sumber daya menghasilkan pool vCPU untuk enklaf berdasarkan jumlah vCPU yang ditentukan. Pool vCPU hanya tersedia untuk enklaf, bukan untuk instans ECS tempat enklaf berada.
Catatan
Untuk mengubah sumber daya yang dialokasikan ke enklaf, ubah berkas konfigurasi allocator.yaml dan jalankan perintah berikut untuk memulai ulang layanan alokasi sumber daya enklaf:
```
sudo systemctl restart ali-enclaves-allocator.service
```
Periksa status layanan alokasi sumber daya enklaf.
```
systemctl status ali-enclaves-allocator.service
```
Keluaran berikut menunjukkan bahwa layanan telah dijalankan.
Jalankan Docker dan konfigurasikan agar berjalan saat instans dimulai.
```
sudo systemctl start docker && sudo systemctl enable docker
```
Catatan
Jika Anda tidak lagi memerlukan fitur Enclave, jalankan perintah sudo yum remove enclave-cli untuk menguninstall Enclave CLI.

Referensi

Untuk informasi tentang cara menggunakan Enclave CLI, lihat Cara cepat menggunakan Enclave CLI.