Amazon

Amazon EC2 es compatible con NitroTPM y UEFI Secure Boot

Amazon EC2 es compatible con NitroTPM y UEFI Secure Boot

AWS anunció recientemente la disponibilidad general de UEFI Secure Boot y de NitroTPM, un módulo TPM virtual para instancias EC2 basado en el sistema Nitro de AWS. Las nuevas funciones están diseñadas para la validación del proceso de arranque, la protección de claves y la gestión de derechos digitales.

Presentado por primera vez en re: inventar, NitroTPM presenta arranque medido, un proceso en el que el gestor de arranque y el sistema operativo crean hashes criptográficos de cada binario de arranque y los combinan con los valores anteriores. La función se puede utilizar para demostrar a las entidades remotas la integridad del software de arranque de la instancia, lo que permite el soporte de atestación remota.

Desarrollados para proporcionar funcionalidades de seguridad basadas en hardware, los módulos de plataforma confiable (TPM) pueden generar, almacenar de forma segura y controlar el uso de claves de cifrado, credenciales y otros datos secretos. Sébastien Stormacqprincipal defensor de los desarrolladores en AWS, explica:

Puede usar NitroTPM para almacenar secretos, como claves de cifrado de disco o claves SSH, fuera de la memoria de la instancia EC2, protegiéndolos de las aplicaciones que se ejecutan en la instancia. NitroTPM aprovecha las propiedades de aislamiento y seguridad del sistema Nitro para garantizar que solo la instancia pueda acceder a estos secretos. Proporciona las mismas funciones que un TPM físico o discreto. NitroTPM sigue la especificación ISO TPM 2.0, lo que le permite migrar las cargas de trabajo locales existentes que aprovechan los TPM a EC2.

Kuniyasu Suzaki, investigador principal del Centro de Investigación de Seguridad Física Cibernética de AIST, pregunta:

Suena bien, pero me pregunto si puedo «tomar posesión» del TPM. Significa que el TPM es de mi propiedad y no lo comparten otras personas.

Arranque seguro de la interfaz de firmware extensible unificada (UEFI) evita la modificación no autorizada del flujo de arranque de la instancia, lo que garantiza que la instancia solo arranque el software firmado con claves criptográficas almacenadas en la base de datos del almacén de variables no volátiles UEFI.

Además de NitroTPM, el Sistema AWS Nitro incluye Nitro Cards, una familia de tarjetas que descarga y acelera IO para funcionesNitro Security Chip, Nitro Hypervisor, un hipervisor liviano que administra la asignación de memoria y CPU, y Nitro Enclaves para crear entornos informáticos aislados para proteger y procesar de manera segura datos altamente confidenciales.

Actualmente, solo se admiten los tipos de instancia Intel y AMD que admiten el modo de arranque UEFI. Las instancias Graviton1, Graviton2, basadas en Xen, Mac y bare-metal no son compatibles, una limitación que planteó algunos preocupaciones en la comunidad.

Stormacq explica cómo las claves de cifrado de volumen de BitLocker son buenas primeras candidatas para usar el TPM virtual:

BitLocker detecta y usa automáticamente NitroTPM cuando está disponible. No hay ningún paso de configuración adicional más allá de lo que hace hoy para instalar y configurar BitLocker. Tras la instalación, BitLocker reconoce el módulo TPM y comienza a usarlo automáticamente.

NitroTPM y UEFI Secure Boot están disponibles en todas las regiones de AWS excepto en China. No hay ningún costo adicional por usar las nuevas funciones.

!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′;
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(t,s)}(window,document,’script’,
‘https://connect.facebook.net/en_US/fbevents.js’);
fbq(‘init’, ‘842388869148196’);
fbq(‘track’, ‘PageView’);