Modul platform tepercaya (TPM) mendapat reputasi buruk karena sakit kepala yang disebabkan oleh beberapa penggemar PC. Satu tempat yang bisa dibilang lebih cocok adalah pusat data, atau setidaknya AWS, berharap dengan peluncuran NitroTPM for Elastic Compute Cloud (EC2) yang sebenarnya.
Yang kami maksud dengan sakit kepala, misalnya, persyaratan ketat Windows 11 untuk TPM 2.0. TPM dapat berupa modul perangkat keras independen yang dipasang di dalam komputer, atau firmware dapat menyediakan fungsionalitas yang setara dengan menggunakan chipset atau prosesor host. Either way, Bisa menghasilkan, menyimpan, dan mengontrol penggunaan kunci enkripsi, kredensial, dan data rahasia lainnya dengan aman. Itu juga dapat digunakan untuk memastikan sistem di-boot sebagaimana dimaksud dan tidak ada yang membuat perubahan tidak sah untuk memungkinkan malware tersembunyi mengintai kotak.
Pada konferensi AWS re:Invent musim dingin lalu, NitroTPM digoda sebagai TPM virtual yang akan segera hadir yang berjalan di Nitro smartNIC Amazon. Sekarang, kami diberi tahu, ini sebenarnya tersedia. Dikatakan sesuai dengan standar TPM 2.0, dan memberi pelanggan AWS perlindungan terhadap rootkit, firmware berbahaya, dan ancaman lainnya.
Menyegel kunci
Salah satu manfaat terbesar bagi pelanggan EC2 adalah menyimpan rahasia — enkripsi disk atau kunci SSH, misalnya — secara terpisah dari instans EC2, kata Sébastien Stormacq, advokat pengembang utama di AWS, pada hari Rabu pengumuman.
Proses ini disebut sebagai “menyegel kunci ke TPM,” Stormacq menjelaskan, menambahkan bahwa setelah disegel, NitroTPM hanya akan membuka segel kunci tersebut jika sistem operasi dan instans dalam keadaan baik. Menurut AWS, ini membuatnya cocok untuk hal-hal seperti manajemen hak digital dan akses database yang aman. Ini dapat diakses pada instans Windows dan Linux melalui BitLocker, dm-verity, atau penyiapan kunci terpadu Linux.
Teknologi ini juga dapat digunakan untuk pengesahan platform dengan memanfaatkan fungsi boot terukur NitroTPM. Proses ini membandingkan pengukuran platform dari bootloader dan sistem operasi untuk menentukan apakah status boot valid dan seperti yang diharapkan.
Jika, misalnya, malware atau penjahat memodifikasi kernel sistem operasi, pemeriksaan ini akan memberikan hasil yang tidak valid, jelas Stormacq.
Dukungan untuk beberapa
NitroTPM didukung oleh sebagian besar sistem operasi Windows dan Linux yang berjalan pada EC2. Red Hat Enterprise Linux 8, SUSE Linux Enterprise Server 15, Ubuntu 18.04 dan 20.04, dan Windows Server 2016, 2019, dan 2022 semuanya telah divalidasi.
AWS mencatat bahwa teknologi harus digunakan pada instans EC2 berbasis Nitro yang didukung oleh prosesor Intel atau AMD. Instans Graviton1, Graviton2, berbasis Xen, Mac, dan bare-metal tidak didukung untuk saat ini.
Terakhir, untuk pengguna Linux, citra mesin Amazon (AMI) harus ditandai untuk menggunakan bios UEFI dan NitroTMP pada saat pembuatannya. AMI Windows yang disediakan oleh AWS ditandai secara default. Dalam kasus enkripsi disk Windows BitLocker, NitroTPM terdeteksi secara otomatis, dan tidak diperlukan konfigurasi tambahan.
NitroTPM tersedia hari ini di semua wilayah AWS di luar China, termasuk di AWS GovCloud, tanpa biaya tambahan.
Peluncuran ini dilakukan lebih dari setahun setelah Microsoft Azure meluncurkan dukungan TPM (vTPM) virtual untuk memilih jenis instans. vTPM memungkinkan administrator untuk menerapkan mesin virtual dengan bootloader, kernel, dan kebijakan boot yang diverifikasi dan ditandatangani.
Sementara itu, Google Cloud Platform memperkenalkan dukungan TPM dengan VM Terlindung pada tahun 2018, dan mengaktifkannya di semua VM secara default hampir dua tahun lalu. ®