AWS ha recentemente annunciato la GA di UEFI Secure Boot e NitroTPM, un modulo TPM virtuale per istanze EC2 basato su AWS Nitro. Le nuove funzionalità sono progettate per la convalida del processo di avvio, la protezione delle chiavi e la gestione dei diritti digitali.
Presentato per la prima volta a re:Invent, NitroTPM può essere utilizzato per dimostrare l’integrità del software di avvio dell’istanza, consentendo il supporto dell’attestazione remota. Sviluppati per fornire funzionalità di sicurezza basate su hardware, i Trusted Platform Module (TPM) possono generare, archiviare in modo sicuro e controllare l’uso di chiavi di crittografia, credenziali e altri dati. Sébastien Stormacq, principal developer advocate at AWS, spiega:
Puoi utilizzare NitroTPM per archiviare chiavi di crittografia o chiavi SSH, al di fuori della memoria dell’istanza EC2, proteggendole dalle applicazioni in esecuzione sull’istanza. NitroTPM sfrutta le proprietà di isolamento e sicurezza del sistema Nitro per garantire che solo l’istanza possa accedere a questi dati. NitroTPM fornisce le stesse funzioni di un TPM fisico e segue la specifica ISO TPM 2.0.
Lo Unified Extensible Firmware Interface (UEFI) Secure Boot impedisce la modifica non autorizzata del flusso di esecuzione dell’istanza EC2 garantendo che l’istanza esegua solo software firmato con chiavi crittografiche archiviate nel database dall’UEFI.
Oltre a NitroTPM, AWS Nitro offre Nitro Cards, una famiglia di schede che accelera l’IO in lettura e scrittura, Nitro Security Chip, Nitro Hypervisor e Nitro Enclaves per creare ambienti di calcolo isolati e proteggere ulteriormente dati altamente sensibili.
Riguardo a NitroTPM, attualmente sono supportati solo i tipi di istanza Intel e AMD che supportano la modalità di avvio UEFI. Le istanze Graviton1, Graviton2, basate su Xen, Mac e bare-metal non sono supportate, una limitazione che ha sollevato alcuni dubbi nella community.
Stormacq spiega come BitLocker sia un buon caso d’uso per NitroTPM:
BitLocker rileva e usa automaticamente NitroTPM quando disponibile. Non c’è nessuno step aggiuntivo oltre a quelli che fai oggi per installare e configurare BitLocker. Al momento dell’installazione, BitLocker riconosce il modulo TPM e inizia a usarlo automaticamente.
NitroTPM e UEFI Secure Boot sono disponibili in tutte le regioni AWS tranne quelle cinesi. Non ci sono costi aggiuntivi per l’utilizzo delle nuove funzionalità.
Vuoi leggere altre news su AWS?