04 يونيو، 2011
أثناء استخدام Amazon Machine Images (AMI’s)، من المهم تذكّر اتخاذ الاحتياطات المناسبة لضمان عدم ترك بيانات الاعتماد المهمة دون قصد على AMIs حين مشاركتها علنًا. لقد أُحطنا علمًا مؤخرًا ببعض المواقف التي أنشأ فيها العملاء بيانات اعتماد وشاركوها علنًا دون علم.
في الحالات التي أُحيطت فيها AWS علمًا بأن بعض العملاء كشفوا دون قصد عن بيانات اعتماد الوصول إلى AWS وبيانات اعتماد خارجية ضمن AMI عامة تم إنشاؤها ومشاركتها، تواصلت AWS مع هؤلاء العملاء وشجعتهم على تحويل AMI المعنية إلى خاصة وتغيير بيانات اعتمادها المكشوفة في الحال. وفي الحالات التي تعذّر فيها الوصول إلى العملاء المتضررين في الحال، عمدت AWS إلى تحويل AMI الخاصة المعنية بالنيابة عن العميل لمنع المزيد من كشف AWS الشخصية التي تخصه فضلاً عن بيانات وصوله لدى الجهات الخارجية.
وفي الحالات التي أُحيطت AWS علمًا بـ AMI عامة تحتوي على مفتاح SecureShell (SSH) عام مسبق التثبيت، والذي يمنح فعليًّا ناشر AMI إمكانية الوصول عن بعد إلى أي مثيلات عاملة من AMI تلك، تواصلت AWS مع ناشر AMI وطلبت منه تحويل AMI المعنية إلى خاصة. أما في الحالات التي تعذّر فيها الوصول إلى ناشر AMI في الحال، أو لم يمتثل سريعًا لتحويل AMI المعني إلى خاص، عمدت AWS إلى تحويل AMI المعنية إلى خاصة لحماية عملائنا. بالإضافة إلى هذا، أخطرنا جميع العملاء الذين حُدِّدَ أنهم يشغّلون مثيلات لـ AMI المتأثرة تلك وشجعناهم على إزالة مفتاح SSH العام المهاجِم المثبت مسبقًا، ما يحجب فعليًّا إمكانية الوصول عن بعد من ناشر AMI. كما شجّعنا العملاء الذين حُدِّدَ بأنّهم يشغّلون مثيلات AMI بشدّة على عمل نسخة احتياطية من البيانات الحالية ونقلها إلى AMI أحدث في حال توفرها.
لم نتلقَّ أي تقارير تفيد باستغلال تلك الثغرات الأمنية فعليًّا. الغرض من هذا المستند هو تذكير المستخدمين بأنه من المهم للغاية البحث بعناية عن أي بيانات اعتماد من AMI وإزالتها قبل إتاحتها علنًا. الغرض من هذا المستند هو تذكير المستخدمين بأنه من المهم للغاية البحث بعناية عن أي بيانات اعتماد من AMI وإزالتها قبل إتاحتها علنًا. يمكن العثور على برنامج تعليمي حول كيفية مشاركة AMIs العامة واستخدامها بشكلٍ آمن هنا: http://aws.amazon.com/articles/0155828273219400
يمكن العثور على المزيد من المبادئ التوجيهية حول مشاركة AMIs بأمان هنا: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
يؤدي اتّباع هذه المبادئ التوجيهية إلى تجربة مستخدم أفضل، ويساعد في ضمان أمان مثيلات المستخدم وقدرتها على حماية ناشر AMI.
يجب على العملاء إبلاغ AWS Security عن أي مخاوف أمنية مرتبطة بـ AMI عامة، aws-security@amazon.com