Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rustで実装された AWS Nitro Enclaves CLIを読む

Osuke
December 07, 2020
Programming
0
260

Rustで実装された AWS Nitro Enclaves CLIを読む

Osuke

December 07, 2020
Tweet

More Decks by Osuke

See All by Osuke
特許データを使ったマルチモーダルAIの検証事例@LLMProd#4
osuke
0
42
dbtを中心に据えた データ分析とプロダクト開発
osuke
1
860
LayerX Privacy Tech事業部紹介 Tech編
osuke
0
110
(SCIS2021) Anonify: プライバシーを保護した 検証可能な状態遷移モジュール
osuke
1
310
Rustのパフォーマンスに関するTips
osuke
3
2.1k
ARM TrustZone入門 / ARM TrustZone intro
osuke
3
7.4k
Anonify
osuke
3
870
Rustのasync/awaitとスケジューラの話 / rust-async-await
osuke
9
3.5k
Privacy on Blockchain
osuke
1
1.1k

Other Decks in Programming

See All in Programming
Ruby Pattern Matching
bkuhlmann
0
930
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
220
VS Code をプロダクトにどう取り込むか
onomax
1
710
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
480
TCAとKMPを用いた新規動画配信アプリ 「ABEMA Live」の設計
tomu28
2
130
敵対的ポイフル
futabato
0
130
Going beyond Apache Parquet's default settings
xhochy
0
130
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
27
8.5k
AmperとFleetを使ったAndroidアプリ
yoppie
0
250
Fragment Composition of GraphQL
quramy
13
1.5k
スキーマ駆動開発による品質とスピードの両立 - 私達は何故、スキーマを書くのか
kentaroutakeda
0
180
Goのエラースタックトレースの歴史と今後
sonatard
10
1.8k

Featured

See All Featured
Web development in the modern age
philhawksworth
203
10k
How STYLIGHT went responsive
nonsquared
92
4.8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
26
2.3k
We Have a Design System, Now What?
morganepeng
43
6.8k
Making the Leap to Tech Lead
cromwellryan
125
8.5k
Fantastic passwords and where to find them - at NoRuKo
philnash
39
2.5k
Into the Great Unknown - MozCon
thekraken
14
1k
Raft: Consensus for Rubyists
vanstee
133
6.3k
Debugging Ruby Performance
tmm1
70
11k
Stop Working from a Prison Cell
hatefulcrawdad
267
19k
Teambox: Starting and Learning
jrom
128
8.4k
What's in a price? How to price your products and services
michaelherold
238
11k

Transcript

  1. 1 Rustで実装された AWS Nitro Enclaves CLIを読む Osuke Sudo 2020/12/7 @Rust

    LT Online #2

  2. 2 @zoom_zoomzo Osuke ソフトウェアエンジニア@LayerX • 暗号技術・TEEを用いたデータのプライバシー保護・改ざん 耐性手法の研究開発(Confidential Computing) • Anonifyの開発

    ◦ https://github.com/LayerXcom/anonify

  3. 3 アジェンダ • AWS Nitro Enclacvesとは • Enclave起動までの処理の流れ • EIFイメージ展開とメモリ割り当て

  4. 4 • 高度にセキュアな情報を扱うことを想定し、AWS Nitro Systemにより提供される隔離保護された実行環境 ◦ 軽量なkvmベースのハイパーバイザ + ネットワーク・ストレージのオフロード +

    セキュリティチッ プなど • それぞれのEnclaveには、EC2のメモリやCPUリソースを割り当てることができ、独立したカーネルOS上 で動作 • Enclaveは親EC2とのvsockのみでやりとり可能(外部のネットワークやストレージに接続することはでき ず、admin IAM権限でもユーザーアクセスはできない) AWS Nitro Enclavesとは https://aws.amazon.com/jp/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

  5. 5 Nitro Enclacve CLI • Nitro-cliでdocker imageからEIF(Enclave Image File)をビルド可能 •

    EIFと割り当てるメモリ、vCPUを指定しenclaveを起動

  6. 6 enclave起動までの処理 1. 親プロセス:CLIコマンドでコミュニケーションするためのEnclave用デーモンの生成 2. デーモン:コマンドを受け取るためのevent loopを回す 3. 親プロセス:socketにrun-enclaveコマンドを送信 4.

    デーモン:nitroデバイスファイルへVM生成コマンド送信 5. デーモン:メモリの割り当てとEIFをメモリに書き込み 6. デーモン:vCPUの割り当て 7. デーモン:nitroデバイスファイルを介しenclaveをスタート 8. 親プロセス:enclaveからのレスポンスを処理し表示 参考: Rustで実装されたAWS Nitro Enclaves CLIの実装を読む https://qiita.com/Osuke/items/81d928bd2a46fab46cbc

  7. 7 init_memory(): メモリ領域の確保 • Run-enclaveコマンドの引数として渡したメ モリサイズ分だけメモリ領域を確保 • それぞれのregionがhuge-pageに対応し、 libc::mmap()により割り当て

  8. 8 init_memory(): EIFイメージの展開 • NE_GET_IMAGE_LOAD_INFOコマンドでioctlを呼 び、EIFイメージを展開するメモリのオフセットを Nitro Systemから取得 • 確保したメモリ領域とイメージ展開オフセットから

    実際にEIFを書き込む • ページごとにNE_SET_USER_MEMORY_REGIONコ マンドでioctlを呼び、デバイスドライバにセット ◦ (KVMでいうところの KVM_SET_USER_MEMORY_REGIONで実行 バイナリをVMにセットしているイメージ)

  9. 9 • Rustで実装されたAWS Nitro Enclaves CLIの実装を読む ◦ https://qiita.com/Osuke/items/81d928bd2a46fab46cbc • Nitro

    Enclaves Command Line Interface (Nitro CLI) ◦ https://github.com/aws/aws-nitro-enclaves-cli • Deep Dive Into AWS Nitro Enclaves - AWS Online Tech Talks ◦ https://youtu.be/K5PRNHaEdOw • AWS re:Invent 2019: Powering next-gen Amazon EC2: Deep dive into the Nitro system (CMP303-R2) ◦ https://youtu.be/rUY-00yFlE4 References