سبتمبر 17، 2009
يوضح أحد التقارير الحديثة أساليب البحث لتحديد المواقع عبر السحابة والتي أجريت على Amazon EC2، والتي يمكن أن تزيد من احتمال قيام المهاجم بتشغيل مثيل حوسبة على نفس الخادم الفعلي كمثيل حوسبة مستهدف محدد آخر. في حين لم يتم تحديد أي هجمات محددة في هذه الورقة، تأخذ AWS أي مشكلة أمنية محتملة على محمل الجد، وإننا بصدد طرح إجراءات وقائية تمنع المهاجمين المحتملين من استخدام تقنيات رسم الخرائط الموضحة في الورقة.
بالإضافة إلى التحقيق في كيفية تجميع مثيلات الحوسبة على EC2 باستخدام رسم الخرائط السحابية، تستمر الورقة في تقديم هجمات افتراضية على القناة الجانبية، والتي تحاول الحصول على معلومات من المثيل المستهدف بعد نجاح المهاجم في تشغيل مثيل على المضيف الفعلي نفسه. تعتمد تقنيات القناة الجانبية المقدمة على نتائج الاختبار من بيئة مختبر مسيطر عليها مع تكوينات لا تتوافق مع بيئة Amazon EC2 الفعلية. وكما يشير الباحثون، هناك عدد من العوامل التي تجعل الهجمات المماثلة أكثر صعوبة في الممارسة العملية.
بينما تضمن هذا التقرير سيناريوهات افتراضية فقط، فإننا نأخذ الملاحظات على محمل الجد وسنواصل التحقيق في هذه هجمات الويب المحتملة. سنواصل أيضاً تطوير الميزات التي تنشئ مستويات إضافية من الأمان لمستخدمينا. تشمل الأمثلة الحديثة AWS Multi-Factor Authentication (AWS MFA)، والتي توفر للعملاء طبقة إضافية من الأمان لإدارة حساب AWS للعميل من خلال طلب معلومات أخرى لتأكيد هوية المستخدم. عن طريق تفعيل AWS MFA، يجب على المستخدمين توفير رمز تناوبي مكون من ستة أرقام من جهاز مادي في حوزتهم، بالإضافة إلى بيانات اعتماد حساب AWS القياسية، قبل السماح لهم بإجراء تغييرات على إعدادات حساب AWS.
بالإضافة إلى ذلك، يمكن للمستخدمين تدوير بيانات اعتماد الوصول (على سبيل المثال، معرف مفتاح الوصول في AWS، أو شهادة X.509). يتيح ذلك للمستخدمين استبدال بيانات اعتماد الوصول الحالية بأخرى جديدة بسلاسة وبدون تحمل أي وقت توقف للتطبيقات. يمكن جعل التطبيقات أكثر أماناً من خلال تدوير بيانات اعتماد الوصول دورياً لحماية الحساب بصورة أكبر في حالة فقد بيانات اعتماد الوصول أو اختراقاها.