2009년 9월 17일
최근 보고서에서는 Amazon EC2에서 수행된 클라우드 지도 제작 연구 방법으로 인해 공격자가 다른 특정 대상 컴퓨팅 인스턴스와 동일한 물리적 서버에서 컴퓨팅 인스턴스를 실행할 가능성이 높아진다는 점을 설명합니다. 이 보고서에서는 특정 공격이 식별되지 않았지만, AWS는 잠재적 보안 문제를 매우 심각하게 생각하므로, 보고서에서 설명한 지도 제작 기술을 잠재적 공격자가 사용하지 못하도록 하는 안전 조치를 시행하는 중입니다.
클라우드 지도 제작을 사용하여 EC2에서 컴퓨팅 인스턴스를 코로케이션하는 방법을 조사하는 것 외에도, 보고서에서는 가상의 부채널 공격(공격자가 동일한 물리적 호스트에서 인스턴스를 실행하는 데 성공하면 대상 인스턴스에서 정보를 얻으려고 시도함)을 보여줍니다. 여기에서 보여주는 부채널 공격 기술은 실제 Amazon EC2 환경과 일치하지 않는 구성을 사용하는 신중하게 제어된 연구실 환경에서 테스트한 결과에 기반합니다. 연구원이 지적한 대로, 여러 가지 요소로 인해 실제로 이러한 공격은 훨씬 더 어렵습니다.
이 보고서는 가상의 시나리오만 포함하고 있지만, AWS는 이러한 의견을 심각하게 받아들이고 있으며 계속해서 이러한 잠재적인 공격을 조사할 것입니다. 또한 지속적으로 AWS 사용자에 대한 강화된 보안 수준을 제공하는 기능을 개발할 것입니다. 최근 사례로, AWS Multi-Factor Authentication(AWS MFA)이 포함됩니다. 이를 통해 고객은 사용자의 자격 증명을 확인하기 위해 두 번째 정보를 요구하며 고객의 AWS 계정 관리에 추가 보안 계층을 제공합니다. AWS MFA를 활성화한 경우 사용자는 표준 AWS 계정 자격 증명 외에도, 실제로 소유한 디바이스의 6자리 순환 코드를 제공해야만 AWS 계정 설정을 변경할 수 있습니다.
또한 사용자는 액세스 자격 증명(예: AWS 액세스 키 ID 또는 X.509 인증서)을 교체할 수 있습니다. 그러면 애플리케이션을 가동 중단하지 않고도 기존 액세스 자격 증명을 새 자격 증명으로 원활하게 교체할 수 있습니다. 액세스 자격 증명을 분실하거나 위협을 받는 경우 계정을 추가적으로 보호하기 위해 정기적으로 액세스 자격 증명을 교체하면 애플리케이션 보안을 한층 더 강화할 수 있습니다.