FERRAMENTAS LINUX: O Kernel Linux 5.10 está para oferecer suporte ao Nitro Enclaves para os aplicativos críticos de segurança

sexta-feira, 25 de setembro de 2020

O Kernel Linux 5.10 está para oferecer suporte ao Nitro Enclaves para os aplicativos críticos de segurança

 



Confira !!


O suporte do kernel para Nitro Enclaves chegou esta semana em char-misc-next antes do ciclo do Kernel Linux 5.10 começar no próximo mês.

Nitro Enclaves é um recurso da nuvem EC2 do Amazon AWS para proteger dados altamente confidenciais. Os Nitro Enclaves fornecem isolamento e segurança adicionais, direcionando o trabalho / dados confidenciais para uma máquina virtual isolada sem acesso persistente ao armazenamento e outras reduções para possíveis superfícies de ataque, ao mesmo tempo que fornecem atestado criptográfico para garantir que apenas código confiável / autorizado esteja em execução.

No início deste ano, os engenheiros da Amazon Web Services começaram o processo de upstreaming Nitro Enclaves com os bits de kernel relevantes para suportar esse recurso de segurança. Agora, para o Linux 5.10 com as mudanças char-misc enfileiradas, esse suporte irá pousar.

A nova documentação do kernel continua descrevendo Nitro Enclaves:

Por exemplo, um aplicativo que processa dados confidenciais e é executado em uma VM pode ser separado de outros aplicativos executados na mesma VM. Esse aplicativo é executado em uma VM separada da VM primária, ou seja, um enclave.

Um enclave é executado ao lado da VM que o gerou. Esta configuração atende às necessidades de aplicativos de baixa latência. Os recursos alocados para o enclave, como memória e CPUs, são extraídos da VM primária. Cada enclave é mapeado para um processo em execução na VM primária, que se comunica com o driver NE por meio de uma interface ioctl.

Consulte a documentação proposta para obter mais informações sobre a parte do lado do kernel. Há também a página aws.amazon.com descrevendo os Nitro Enclaves em um nível superior.

O driver de dispositivo PCI e outro código de enclave e a exposição do novo ioctl fazem parte dos patches enfileirados. Depois de passar por dez rodadas de revisão de patch, o código aparece todo quadrado e é exposto por meio do novo switch NITRO_ENCLAVES Kconfig.


Fonte

Até a próxima !








Nenhum comentário:

Postar um comentário