| 👀 خبر در یک نگاه:
AWS قابلیت جدید «تایید هویت نمونههای EC2» را معرفی کرد. این ویژگی به کاربران امکان میدهد با روش رمزنگاریشده تایید کنند ماشینهای مجازیشان با پیکربندیها و نرمافزارهای تاییدشده در حال اجرا هستند. این ویژگی با استفاده از NitroTPM و AMIها، امنیت و حفاظت از دادهها و نرمافزار را افزایش میدهد. |
AWS قابلیت جدیدی به نام «تایید هویت نمونه EC2» معرفی کرده. این قابلیت به کاربران امکان میدهد با روشی رمزنگاریشده، مطمئن شوند ماشینهای مجازیشان با پیکربندیهای نرمافزاری تاییدشده در حال اجرا هستند. این قابلیت با استفاده از «ماژول NitroTPM» و «تصاویر قابل تایید AMI» ارائه میشود.
این قابلیت چطور کار میکند؟
با استفاده از قابلیت «تایید هویت نمونه EC2»، کاربران میتوانند بهصورت رمزنگاریشده تایید کنند که یک نمونه EC2 با پیکربندیها و نرمافزارهای قابل اعتماد، در حال اجراست. این موضوع، یکی از دغدغههای اصلی سازمانهای دارای الزامات سختگیرانه امنیتی و انطباق است. پیش از این امکان حذف دسترسی اپراتور از مدیران و کاربران در EC2 وجود داشت اما هیچ راهی برای اطمینان از انجام این کار نبود. «جی.دی. بین» (J.D. Bean)، معمار ارشد امنیت در AWS، توضیح میدهد:
«با استفاده از این قابلیت، کاربران میتوانند از تمام توان نمونههای EC2 مبتنی بر نیترو، از جمله شبکهسازی با عملکرد بالا و سختافزارهای شتابدهنده هوش مصنوعی، بهرهمند شوند. در عین حال سطح امنیت در الگوهای محاسبات قابل اعتماد، مانند محاسبات چندجانبه را ارتقا دهند.»
این ویژگی جدید، مشابه قابلیتی است که پیشتر فقط در «محیطهای ایزوله نیترو» (Nitro Enclaves) در دسترس بود. این ویژگی همان سطح حفاظت را به نمونههای استاندارد EC2 گسترش میدهد.
بین اضافه میکند:
«این نسخه ابزارها و رابطهایی در اختیار کاربران قرار میدهد تا بتوانند «تصاویر ماشین آمازون» (AMI) مقاومسازیشده و محدودشدهای بسازند که برای دسترسی صفر اپراتور و اطمینان بالا طراحی شدهاند. این AMIهای قابل تایید، میتوانند مدرکی از محتوای سیستم در اختیار سامانههای خارجی قرار دهند تا در تصمیمگیریهای مربوط به احراز هویت و مجوزدهی مورد استفاده قرار گیرد.»
تصویر قابل تایید AMI یا Attestable AMI چیست؟
یک «تصویر قابل تایید AMI»، در واقع یک AMI است که دارای یک هش رمزنگاریشده متناظر است. این هش، نمایانگر تمام محتوای آن AMI است. بر اساس مستندات، این هش در فرایند ایجاد AMI تولید میشود و بر پایه کل محتوای آن، از جمله برنامهها، کد و فرایند بوت، محاسبه میگردد.
با این قابلیت جدید، کلیدها و سایر دادههای محرمانه، تنها توسط نمونههای EC2 از یک AMI تاییدشده استفاده میکنند. این دادهها از طریق سرویس مدیریت کلید آمازون وب سرویس (KMS) قابل رمزگشایی خواهند بود.
علاوه بر این، سازمانها میتوانند یک Certificate Authority ایجاد کنند. این مرجع فقط برای نمونههایی گواهی صادر میکند که اجرای AMIهای مورد تایید در آنها وریفای شده باشد.
نظرات کاربران
در یکی از بحثهای پرطرفدار Hacker News، برخی کاربران نسبت به میزان استقبال از این قابلیت تردید داشتند. کاربری با نام «jiggawatts» نوشت:
«این قابلیت برای چه کسانی است؟ من هیچ مشتریای را نمیشناسم که تا این حد محتاط باشد اما در عین حال به فضای ابری عمومی اعتماد کند.»
«کوری کوین» (Corey Quinn)، اقتصاددان ارشد فضای ابری در The Duckbill Group نوشت:
«این قابلیت برای افرادی مفید است که در حالت کلی به ارائهدهندگان فضای ابری خود اعتماد دارند اما در ترکیبهای خاصی به آنها اعتماد ندارند.»
«یان کوی» (Yan Cui)، قهرمان AWS و متخصص سرورلس، نظر متفاوتی دارد:
«قابلیت جدید تایید هویت نمونه EC2 برای برخی موارد استفاده در حوزه SaaS سازمانی و انطباق، تحولآفرین است. بسیاری از شرکتها ترجیح میدهند نرمافزار SaaS را درون سازمان خود اجرا کنند تا دادههای حساسشان از شبکه خارج نشود. البته در این صورت ارائهدهنده SaaS هیچ راهی برای حفاظت از مالکیت فکری خود، یعنی نرمافزار، ندارد. با استفاده از AMIهای قابل تایید، ارائهدهنده SaaS، میتواند یک AMI با نرمافزار خود منتشر کند (مثلا یک مدل هوش مصنوعی). مشتریان میتوانند نمونههای EC2 را از این تصویر اجرا کنند و نرمافزار را راهاندازی کنند اما نمیتوانند به محتوای آن دسترسی پیدا کنند.»
رقبای ارائهدهنده قابلیت مشابه
AWS تنها ارائهدهنده فضای ابری نیست که به کاربران امکان میدهد تایید کنند یک ماشین مجازی با پیکربندیها و نرمافزارهای قابل اعتماد در حال اجراست؛ گوگل کلود و Azure نیز قابلیتهای مشابهی ارائه میدهند.
جمعبندی
قابلیت «تایید هویت نمونه EC2» در تمام مناطق AWS در دسترس است و خود ویژگی هیچ هزینه اضافی ندارد. هزینههای استاندارد ذخیرهسازی برای AMIها اعمال میشود و قیمتگذاری AWS KMS، در صورت استفاده از سرویس اعمال میشود.
راهنمای کاربری برای ساخت یک «تصویر تاییدشده Amazon Linux 2023» با استفاده از KIWI Next Generation، در دسترس است. این ابزار متنباز بوده و برای ایجاد تصاویر پیشپیکربندیشده مبتنی بر لینوکس منتشر شده است.
منبع: infoq.com
دیدگاهتان را بنویسید