Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rustで実装された AWS Nitro Enclaves CLIを読む

Avatar for Osuke Osuke
December 07, 2020
Programming
0
350

Rustで実装された AWS Nitro Enclaves CLIを読む

Avatar for Osuke

Osuke

December 07, 2020
Tweet

More Decks by Osuke

See All by Osuke
特許データを使ったマルチモーダルAIの検証事例@LLMProd#4
Avatar for Osuke osuke
0
220
dbtを中心に据えた データ分析とプロダクト開発
Avatar for Osuke osuke
1
1k
LayerX Privacy Tech事業部紹介 Tech編
Avatar for Osuke osuke
0
190
(SCIS2021) Anonify: プライバシーを保護した 検証可能な状態遷移モジュール
Avatar for Osuke osuke
1
370
Rustのパフォーマンスに関するTips
Avatar for Osuke osuke
3
3.3k
ARM TrustZone入門 / ARM TrustZone intro
Avatar for Osuke osuke
3
8.5k
Anonify
Avatar for Osuke osuke
3
1k
Rustのasync/awaitとスケジューラの話 / rust-async-await
Avatar for Osuke osuke
9
3.9k
Privacy on Blockchain
Avatar for Osuke osuke
1
1.2k

Other Decks in Programming

See All in Programming
AI時代の開発者評価について
Avatar for Ayuusu ayumuu
0
230
個人開発の学生アプリが企業譲渡されるまで
Avatar for akidon0000 akidon0000
2
1.2k
エンジニアが挑む、限界までの越境
Avatar for Nealle nealle
1
320
fieldalignmentから見るGoの構造体
Avatar for kuro kuro_kurorrr
0
130
ぽちぽち選択するだけでOSSを読めるVSCode拡張機能
Avatar for Kazuya Kurihara ymbigo
12
5.5k
The Missing Link in Angular’s Signal Story: Resource API and httpResource
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
Instrumentsを使用した アプリのパフォーマンス向上方法
Avatar for hinakko hinakko
0
240
LRパーサーはいいぞ
Avatar for ydah ydah
5
1.1k
Laravel × Clean Architecture
Avatar for Takayuki bumptakayuki
PRO
0
140
API for docs
Avatar for Soutaro Matsumoto soutaro
4
1.7k
The Implementations of Advanced LR Parser Algorithm
Avatar for Junichi Kobayashi junk0612
2
1.4k
大LLM時代にこの先生きのこるには-ITエンジニア編
Avatar for Kuu fumiyakume
8
3.3k

Featured

See All Featured
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
29
930
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.6k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
23
2.7k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
410
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
5
590
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
45
9.5k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
129
19k

Transcript

  1. 1 Rustで実装された AWS Nitro Enclaves CLIを読む Osuke Sudo 2020/12/7 @Rust

    LT Online #2

  2. 2 @zoom_zoomzo Osuke ソフトウェアエンジニア@LayerX • 暗号技術・TEEを用いたデータのプライバシー保護・改ざん 耐性手法の研究開発(Confidential Computing) • Anonifyの開発

    ◦ https://github.com/LayerXcom/anonify

  3. 3 アジェンダ • AWS Nitro Enclacvesとは • Enclave起動までの処理の流れ • EIFイメージ展開とメモリ割り当て

  4. 4 • 高度にセキュアな情報を扱うことを想定し、AWS Nitro Systemにより提供される隔離保護された実行環境 ◦ 軽量なkvmベースのハイパーバイザ + ネットワーク・ストレージのオフロード +

    セキュリティチッ プなど • それぞれのEnclaveには、EC2のメモリやCPUリソースを割り当てることができ、独立したカーネルOS上 で動作 • Enclaveは親EC2とのvsockのみでやりとり可能(外部のネットワークやストレージに接続することはでき ず、admin IAM権限でもユーザーアクセスはできない) AWS Nitro Enclavesとは https://aws.amazon.com/jp/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

  5. 5 Nitro Enclacve CLI • Nitro-cliでdocker imageからEIF(Enclave Image File)をビルド可能 •

    EIFと割り当てるメモリ、vCPUを指定しenclaveを起動

  6. 6 enclave起動までの処理 1. 親プロセス:CLIコマンドでコミュニケーションするためのEnclave用デーモンの生成 2. デーモン:コマンドを受け取るためのevent loopを回す 3. 親プロセス:socketにrun-enclaveコマンドを送信 4.

    デーモン:nitroデバイスファイルへVM生成コマンド送信 5. デーモン:メモリの割り当てとEIFをメモリに書き込み 6. デーモン:vCPUの割り当て 7. デーモン:nitroデバイスファイルを介しenclaveをスタート 8. 親プロセス:enclaveからのレスポンスを処理し表示 参考: Rustで実装されたAWS Nitro Enclaves CLIの実装を読む https://qiita.com/Osuke/items/81d928bd2a46fab46cbc

  7. 7 init_memory(): メモリ領域の確保 • Run-enclaveコマンドの引数として渡したメ モリサイズ分だけメモリ領域を確保 • それぞれのregionがhuge-pageに対応し、 libc::mmap()により割り当て

  8. 8 init_memory(): EIFイメージの展開 • NE_GET_IMAGE_LOAD_INFOコマンドでioctlを呼 び、EIFイメージを展開するメモリのオフセットを Nitro Systemから取得 • 確保したメモリ領域とイメージ展開オフセットから

    実際にEIFを書き込む • ページごとにNE_SET_USER_MEMORY_REGIONコ マンドでioctlを呼び、デバイスドライバにセット ◦ (KVMでいうところの KVM_SET_USER_MEMORY_REGIONで実行 バイナリをVMにセットしているイメージ)

  9. 9 • Rustで実装されたAWS Nitro Enclaves CLIの実装を読む ◦ https://qiita.com/Osuke/items/81d928bd2a46fab46cbc • Nitro

    Enclaves Command Line Interface (Nitro CLI) ◦ https://github.com/aws/aws-nitro-enclaves-cli • Deep Dive Into AWS Nitro Enclaves - AWS Online Tech Talks ◦ https://youtu.be/K5PRNHaEdOw • AWS re:Invent 2019: Powering next-gen Amazon EC2: Deep dive into the Nitro system (CMP303-R2) ◦ https://youtu.be/rUY-00yFlE4 References