Fitur-fitur keamanan AWS Panorama - AWS Panorama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Fitur-fitur keamanan AWS Panorama

Untuk melindungi Andaaplikasi, model, dan perangkat keras terhadap kode berbahaya dan eksploitasi lainnya, AWS Panorama Appliance mengimplementasikan serangkaian fitur keamanan yang luas. Ini termasuk namun tidak terbatas pada berikut.

  • Enkripsi disk penuh— Alat mengimplementasikan Linux unified key setup (LUKS2) enkripsi full-disk. Semua perangkat lunak sistem dan data aplikasi dienkripsi dengan kunci yang spesifik untuk perangkat Anda. Bahkan dengan akses fisik ke perangkat, penyerang tidak dapat memeriksa isi penyimpanannya.

  • Tata letak memori— Untuk melindungi terhadap serangan yang menargetkan kode eksekusi yang dimuat ke dalam memori, AWS Panorama Appliance menggunakan pengacakan tata letak ruang alamat (ASLR). ASLR mengacak lokasi kode sistem operasi seperti yang dimuat ke memori. Hal ini mencegah penggunaan eksploitasi yang mencoba untuk menimpa atau menjalankan bagian kode tertentu dengan memprediksi di mana ia disimpan pada saat runtime.

  • Lingkungan eksekusi tepercaya— Alat ini menggunakan lingkungan eksekusi tepercaya (TEE) berdasarkan ARM TrustZone, dengan penyimpanan terisolasi, memori, dan sumber daya pemrosesan. Kunci dan data sensitif lainnya yang tersimpan di zona kepercayaan hanya dapat diakses oleh aplikasi tepercaya, yang berjalan dalam sistem operasi terpisah dalam TEE. Perangkat lunak AWS Panorama Appliance berjalan di lingkungan Linux yang tidak tepercaya bersama kode aplikasi. Ini hanya dapat mengakses operasi kriptografi dengan membuat permintaan untuk aplikasi yang aman.

  • Penyediaan aman— Ketika Anda menyediakan alat, kredensi (kunci, sertifikat, dan materi kriptografi lainnya) yang Anda transfer ke perangkat hanya berlaku untuk waktu yang singkat. Alat ini menggunakan kredensi berumur pendek untuk terhubung keAWS IoTdan meminta sertifikat untuk dirinya sendiri yang berlaku untuk waktu yang lebih lama. Layanan AWS Panorama menghasilkan kredensyal dan mengenkripsinya dengan kunci yang dikodekan pada perangkat. Hanya perangkat yang meminta sertifikat yang dapat mendekripsi dan berkomunikasi dengan AWS Panorama.

  • Boot aman— Saat perangkat dinyalakan, setiap komponen perangkat lunak diautentikasi sebelum dijalankan. Boot ROM, perangkat lunak hardcoded dalam prosesor yang tidak dapat dimodifikasi, menggunakan kunci enkripsi hardcoded untuk mendekripsi bootloader, yang memvalidasi kernel lingkungan eksekusi tepercaya, dan sebagainya.

  • Kernel yang ditandatangani— Modul kernel ditandatangani dengan kunci enkripsi asimetris. Kernel sistem operasi mendekripsi tanda tangan dengan kunci publik dan memverifikasi bahwa itu cocok dengan tanda tangan modul sebelum memuat modul ke memori.

  • dm-kejujuran- Mirip dengan bagaimana modul kernel divalidasi, alat menggunakan Linux Device Mapperdm-verityfitur untuk memverifikasi integritas gambar perangkat lunak alat sebelum memasangnya. Jika perangkat lunak alat dimodifikasi, itu tidak akan berjalan.

  • Pencegahan rollback— Ketika Anda memperbarui perangkat lunak alat, alat meniup sekering elektronik pada SoC (sistem pada chip). Setiap versi perangkat lunak mengharapkan peningkatan jumlah sekering yang akan ditiup, dan tidak dapat berjalan jika lebih banyak ditiup.