17 сентября 2009 г.

В недавно опубликованном докладе описаны методы поиска для облачной картографии, протестированные в Amazon EC2, которые могут повысить вероятность того, что злоумышленник запустит вычислительный инстанс на том же физическом сервере, где расположен другой целевой инстанс. В этом документе не указаны конкретные атаки, но AWS очень серьезно относится к любой возможной проблеме безопасности. К тому же мы как раз внедряем меры безопасности, благодаря которым потенциальные злоумышленники не могут использовать приемы картографии, приводимые в докладе.

В докладе не только исследуется размещение вычислительных инстансов в EC2 с использованием облачной картографии, но и описываются гипотетические атаки по побочным каналам, в ходе которых злоумышленник пытается заполучить информацию от целевого инстанса, как только ему удается развернуть на физическом хосте другой. Представленные методы атак по побочным каналам выведены на основе результатов тестирования в тщательно контролируемой лабораторной среде, конфигурации которой не соответствуют фактической среде Amazon EC2. По словам исследователей, существует ряд факторов, из-за которых на практике такую атаку выполнить значительно сложнее.

Несмотря на то, что в этом докладе содержатся только гипотетические сценарии, мы уделяем им огромное внимание и продолжим исследовать потенциальные эксплойты. Мы также будем и впредь разрабатывать функции, с помощью которых можно создавать дополнительные уровни безопасности для наших пользователей. К числу последних примеров относится многофакторная аутентификация AWS Multi-Factor Authentication (AWS MFA), которая требует второй фрагмент информации для подтверждения личности пользователя, предоставляя таким образом дополнительный уровень безопасности администрирования клиентского аккаунта AWS. При включенной аутентификации AWS MFA в дополнение к стандартным данным для доступа пользователи должны предоставить шестизначный код с устройства, которое находится в их физическом владении, прежде чем они смогут вносить изменения в настройки своего аккаунта AWS.

Кроме того, у пользователей есть возможность чередовать данные для доступа (например, идентификатор ключа доступа AWS или сертификат X.509). Они могут легко заменять существующие данные для доступа новыми, избегая каких-либо простоев приложений. Приложения можно сделать более безопасными, регулярно изменяя данные для доступа. В случае если они будут утеряны или скомпрометированы, это обеспечит дополнительную защиту аккаунта.