Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rustで実装された AWS Nitro Enclaves CLIを読む

Osuke
December 07, 2020
Programming
0
220

Rustで実装された AWS Nitro Enclaves CLIを読む

Osuke

December 07, 2020
Tweet

More Decks by Osuke

See All by Osuke
dbtを中心に据えた データ分析とプロダクト開発
osuke
1
730
LayerX Privacy Tech事業部紹介 Tech編
osuke
0
53
(SCIS2021) Anonify: プライバシーを保護した 検証可能な状態遷移モジュール
osuke
1
270
Rustのパフォーマンスに関するTips
osuke
3
1.5k
ARM TrustZone入門 / ARM TrustZone intro
osuke
3
6.7k
Anonify
osuke
3
770
Rustのasync/awaitとスケジューラの話 / rust-async-await
osuke
9
3.2k
Privacy on Blockchain
osuke
1
1.1k
Secure Coding Practice in Rust
osuke
4
2.8k

Other Decks in Programming

See All in Programming
Vitestを使った型テストの始め方
mascii
5
1.5k
Managing State Beyond ViewModels and Hilt (Updated)
vrallev
3
640
AWS SDKのClientは Factory経由で作ろう
iwatatomoya
1
290
Software Architecture
hschwentner
6
1.5k
Google Apps Scriptを使いこなさない方法
efbmzwyk999
0
120
ドメインを中心にしたプロダクト開発/domain-driven-product
hirodragon112
1
210
Migrating From Spring Boot 2 To Spring Boot 3 - What's Jakarta EE Got To Do with It?
ivargrimstad
0
610
RDRA, ICONIX, DDDの実践から得た学び
hsawaji
5
800
Lightweight Architectures: With Angular's Signals and Standalone
manfredsteyer
PRO
0
110
ZennにみるCloudRunとBigQueryによるアプリケーション構築 / zenn-cloudrun-bigquery-serverless
wadayusuke
13
3.6k
テスト自動化ツールを比較してみた 導入後の課題と相性の良いテスト
tapompom
2
470
CSS Subgridが遂に全ブラウザ対応。新時代のグリッドデザインを学ぼう
tonkotsuboy_com
5
5.1k

Featured

See All Featured
The Language of Interfaces
destraynor
149
22k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
239
1.2M
We Have a Design System, Now What?
morganepeng
40
6.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
33
8.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
352
21k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
271
12k
In The Pink: A Labor of Love
frogandcode
135
21k
Gamification - CAS2011
davidbonilla
75
4.3k
Automating Front-end Workflow
addyosmani
1354
200k
Unsuck your backbone
ammeep
660
56k
StorybookのUI Testing Handbookを読んだ
zakiyama
9
3.9k
Designing for Performance
lara
601
66k

Transcript

  1. 1
    Rustで実装された
    AWS Nitro Enclaves CLIを読む
    Osuke Sudo
    2020/12/7
    @Rust LT Online #2

    View Slide

  2. 2
    @zoom_zoomzo
    Osuke
    ソフトウェアエンジニア@LayerX
    ● 暗号技術・TEEを用いたデータのプライバシー保護・改ざん
    耐性手法の研究開発(Confidential Computing)
    ● Anonifyの開発
    ○ https://github.com/LayerXcom/anonify

    View Slide

  3. 3
    アジェンダ
    ● AWS Nitro Enclacvesとは
    ● Enclave起動までの処理の流れ
    ● EIFイメージ展開とメモリ割り当て

    View Slide

  4. 4
    ● 高度にセキュアな情報を扱うことを想定し、AWS Nitro Systemにより提供される隔離保護された実行環境
    ○ 軽量なkvmベースのハイパーバイザ + ネットワーク・ストレージのオフロード + セキュリティチッ
    プなど
    ● それぞれのEnclaveには、EC2のメモリやCPUリソースを割り当てることができ、独立したカーネルOS上
    で動作
    ● Enclaveは親EC2とのvsockのみでやりとり可能(外部のネットワークやストレージに接続することはでき
    ず、admin IAM権限でもユーザーアクセスはできない)
    AWS Nitro Enclavesとは
    https://aws.amazon.com/jp/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

    View Slide

  5. 5
    Nitro Enclacve CLI
    ● Nitro-cliでdocker imageからEIF(Enclave Image File)をビルド可能
    ● EIFと割り当てるメモリ、vCPUを指定しenclaveを起動

    View Slide

  6. 6
    enclave起動までの処理
    1. 親プロセス:CLIコマンドでコミュニケーションするためのEnclave用デーモンの生成
    2. デーモン:コマンドを受け取るためのevent loopを回す
    3. 親プロセス:socketにrun-enclaveコマンドを送信
    4. デーモン:nitroデバイスファイルへVM生成コマンド送信
    5. デーモン:メモリの割り当てとEIFをメモリに書き込み
    6. デーモン:vCPUの割り当て
    7. デーモン:nitroデバイスファイルを介しenclaveをスタート
    8. 親プロセス:enclaveからのレスポンスを処理し表示
    参考:
    Rustで実装されたAWS Nitro Enclaves CLIの実装を読む
    https://qiita.com/Osuke/items/81d928bd2a46fab46cbc

    View Slide

  7. 7
    init_memory(): メモリ領域の確保
    ● Run-enclaveコマンドの引数として渡したメ
    モリサイズ分だけメモリ領域を確保
    ● それぞれのregionがhuge-pageに対応し、
    libc::mmap()により割り当て

    View Slide

  8. 8
    init_memory(): EIFイメージの展開
    ● NE_GET_IMAGE_LOAD_INFOコマンドでioctlを呼
    び、EIFイメージを展開するメモリのオフセットを
    Nitro Systemから取得
    ● 確保したメモリ領域とイメージ展開オフセットから
    実際にEIFを書き込む
    ● ページごとにNE_SET_USER_MEMORY_REGIONコ
    マンドでioctlを呼び、デバイスドライバにセット
    ○ (KVMでいうところの
    KVM_SET_USER_MEMORY_REGIONで実行
    バイナリをVMにセットしているイメージ)

    View Slide

  9. 9
    ● Rustで実装されたAWS Nitro Enclaves CLIの実装を読む
    ○ https://qiita.com/Osuke/items/81d928bd2a46fab46cbc
    ● Nitro Enclaves Command Line Interface (Nitro CLI)
    ○ https://github.com/aws/aws-nitro-enclaves-cli
    ● Deep Dive Into AWS Nitro Enclaves - AWS Online Tech Talks
    ○ https://youtu.be/K5PRNHaEdOw
    ● AWS re:Invent 2019: Powering next-gen Amazon EC2: Deep dive into the Nitro system
    (CMP303-R2)
    ○ https://youtu.be/rUY-00yFlE4
    References

    View Slide