AWS Panorama アプライアンスのセキュリティ機能

アプリケーション、モデル、ハードウェアを悪意のあるコードやその他の悪用から保護するために、AWS Panorama アプライアンスには広範なセキュリティ機能が実装されています。以下の理由がありますが、これらに限定されるものではありません。

• フルディスク暗号化 — アプライアンスにはLinux 統合キーセットアップ (LUKS2) のフルディスク暗号化が実装されています。すべてのシステムソフトウェアとアプリケーションデータは、デバイス固有のキーで暗号化されます。デバイスに物理的にアクセスしても、攻撃者はストレージの内容を検査することはできません。

• メモリレイアウトのランダム化 — メモリにロードされた実行コードを標的とする攻撃から保護するために、AWS Panorama アプライアンスはアドレス空間レイアウトのランダム化 (ASLR) を使用しています。ASLR は、オペレーティングシステムコードがメモリに読み込まれるときに、その位置をランダム化します。これにより、ランタイム中にコードの保存場所を予測することで、コードの特定のセクションを上書きしたり実行したりする悪用を防ぐことができます。

• 信頼できる実行環境 — アプライアンスは、独立したストレージ、メモリ、および処理リソースを備えた ARM TrustZone に基づく信頼できる実行環境 (TEE) を使用します。トラストゾーンに保存されている鍵やその他の機密データには、TEE 内の別のオペレーティングシステムで動作する信頼できるアプリケーションのみがアクセスできます。AWS Panorama アプライアンスソフトウェアは、アプリケーションコードとともに信頼できない Linux 環境で実行されます。暗号化操作にアクセスできるのは、安全なアプリケーションにリクエストを行う場合のみです。

• 安全なプロビジョニング — アプライアンスをプロビジョニングする場合、デバイスに転送する認証情報 (鍵、証明書、その他の暗号資料) は短期間しか有効になりません。アプライアンスは有効期間の短い認証情報を使用して AWS IoT に接続し、より長期間有効な証明書を自身に要求します。AWS Panorama サービスは認証情報を生成し、デバイスにハードコーディングされたキーで暗号化します。証明書をリクエストしたデバイスのみが、証明書を復号化して AWS Panorama と通信できます。

• セキュアブート — デバイスの起動時に、各ソフトウェアコンポーネントは実行前に認証されます。ブート ROM は、プロセッサにハードコーディングされた変更不可能なソフトウェアで、ハードコードされた暗号化キーを使用してブートローダーを復号化し、信頼できる実行環境のカーネルなどを検証します。

• 署名付きカーネル — カーネルモジュールは非対称暗号鍵で署名されます。オペレーティングシステムカーネルは、モジュールをメモリにロードする前に、公開鍵を使用して署名を復号化し、モジュールの署名と一致することを確認します。

• dm-verity — カーネルモジュールの検証と同様に、アプライアンスは Linux デバイスマッパー dm-verity の機能を使用して、アプライアンスのソフトウェアイメージをマウントする前にその整合性を検証します。アプライアンスソフトウェアが変更されると、動作しなくなります。

• ロールバック防止 — アプライアンスソフトウェアを更新すると、アプライアンスはSoC（システムオンチップ）の電子ヒューズを切断します。各ソフトウェアバージョンでは、切れるヒューズの数が増えることが予想され、ヒューズがさらに切れると動作しなくなります。