介绍 亚马逊云科技 Nitro 系统的安全设计白皮书

亚马逊云科技 最近发布了一份关于 AW S Nitro 系统 安全设计的 白皮书。 Nitro 系统 集专用服务器设计、数据处理器、系统管理组件和专用固件于一体，可作为底层虚拟化技术，为自 2018 年初以来推出的所有 亚马逊弹性计算云 (Amazon EC2) 实例提供支持。借助 Nitro System，亚马逊云科技 努力重新构想虚拟化架构，以提供客户所需的安全性、隔离性、性能、成本节约和创新步伐。

本白皮书是一份详细的设计文档，介绍了 亚马逊云科技 Nitro 系统的内部工作原理，以及我们如何使用它来帮助保护您最关键的工作负载。这是 亚马逊云科技 首次就 Nitro 系统及其如何提供无操作员访问设计和强大的租户隔离提供如此详细的设计文档。该白皮书详细描述了 Nitro 系统的安全设计，以帮助您评估 Amazon EC2 是否适合您的敏感工作负载。

Nitro 系统的三个关键组件用于实现此设计：

• 专用的 Nitro 卡 — 由 亚马逊云科技 设计的硬件设备，提供整体系统控制和 I/O 虚拟化，独立于主系统主板及其CPU和内存。
• Nitro Security Chip — 基于硬件信任根、提供裸机实例的能力和深度防御（保护服务器免受未经授权的系统固件修改），支持整个系统的安全启动过程。
• Nitro Hypervisor — 一种故意最小化的、类似于固件的虚拟机管理程序，旨在提供强大的资源隔离，性能几乎与裸机服务器没有区别。

白皮书描述了与以前的虚拟化方法相比，Nitro System引入的根本架构变化。它讨论了 Nitro 系统的三个关键组件，并通过向正在运行的 EC2 实例添加新的 亚马逊弹性区块存储 (Amazon EBS) 卷时会发生什么来演示这些组件是如何协同工作的。白皮书还讨论了 Nitro 系统是如何设计的，以消除管理员访问 EC2 服务器的可能性、Nitro 系统的整体被动通信设计以及 Nitro 系统变更管理流程。最后，本文调查了 EC2 系统设计的重要方面，这些方面可以缓解计算环境中可能出现的潜在侧信道问题。

白皮书 深入探讨了所有这些注意事项，详细描述了 Nitro System 的安全设计。有关 亚马逊云科技 云安全的更多信息， 请联系我们 。

如果您对这篇文章有反馈，请在下面的 评论 部分提交评论。如果您对这篇文章有疑问， 请联系 亚马逊云科技 Support 。

想了解更多 亚马逊云科技 安全新闻？在 推特 上关注我们 。