Elastic Compute Service (ECS) は、ハードウェア暗号化、トラステッドコンピューティング、コンフィデンシャルコンピューティングなどの階層的なセキュリティ保護を提供します。
概要
ECS は、デフォルトのメモリ暗号化、トラステッドコンピューティング (vTPM)、およびコンフィデンシャルコンピューティング (機密 VM とエンクレーブ) を提供します。
デフォルトのメモリ暗号化: OS やアプリケーションを変更することなく、物理的な攻撃からメモリ内のデータを保護します。 汎用 g8i、コンピューティング最適化 c8i、メモリ最適化 r8i などのインスタンスファミリーでデフォルトでサポートされています。
トラステッドコンピューティング: トラステッドインスタンスは、vTPM を信頼のルートとして使用し、トラステッドブートを有効にして起動時にコアコンポーネントを検証することで、それらが改ざんされていないことを保証します。
コンフィデンシャルコンピューティング: CPU のハードウェア暗号化と分離を使用して、不正な変更からデータを保護する高信頼実行環境 (TEE) を提供します。 リモートアテステーションなどの機能により、クラウドプラットフォームとインスタンスの整合性を検証します。
エンクレーブセキュリティ: インテル ソフトウェア・ガード・エクステンションズ (Intel SGX) 2.0 および Alibaba Cloud 仮想化エンクレーブに基づき、この機能は信頼されたコンピューティングベース (TCB) を削減し、攻撃対象領域を最小化します。 詳細については、「SGX コンフィデンシャルコンピューティング環境の構築」および「エンクレーブコンフィデンシャルコンピューティング環境の構築」をご参照ください。
機密 VM セキュリティ: コードを変更することなく、処理中に暗号化された機密性の高いワークロードを実行します。 機密 VM は、インテル トラスト・ドメイン・エクステンションズ (Intel TDX) に基づいています。 詳細については、「TDX コンフィデンシャルコンピューティング環境の構築」をご参照ください。
Alibaba Cloud は、ECS ホストに Ali-PRoT (Platform Root-of-Trust) ハードウェアセキュリティチップ を導入しています。 このチップは、追加の設定なしで、基盤となるハードウェアとファームウェアを保護します。 主な機能は次のとおりです:
プロアクティブなファームウェア測定: ホストの起動前に、Ali-PRoT はファームウェア (BIOS や BMC など) の整合性を検証します。 従来の受動的な記録方法とは異なり、Ali-PRoT はファームウェアが実行される前に、潜在的な脅威をプロアクティブに検出してブロックします。 検証済みのサーバーのみが起動できます。
ランタイム改ざん防止: Ali-PRoT は、ランタイム中にファームウェアの読み取りと書き込みを継続的に監視し、不正なアクセスや変更をリアルタイムでブロックします。
ハードウェア ID 認証: Ali-PRoT は、チップ固有のハードウェア ID とクラウドプラットフォームのセキュリティ制御システムを通じて物理サーバーを認証し、不正なデバイスがプラットフォームにアクセスするのを防ぎます。