2009 年 9 月 17 日
最近的一份报告介绍了在 Amazon EC2 上执行的云制图研究方法,这些方法可能会增加攻击者在与另一个特定目标计算实例相同的物理服务器上启动计算实例的几率。虽然该报告并未指出任何特定攻击,但 AWS 非常认真地对待任何潜在的安全问题,而且我们正着手推出多项安全措施,以防止潜在的攻击者使用该报告介绍的制图方法。
该报告除了研究如何使用云制图在 EC2 上并置计算实例之外,还介绍了假设侧信道攻击,此类攻击会在攻击者成功拥有在同一物理主机上运行的实例后试图从目标实例中获取信息。报告中介绍的侧信道方法基于在精心控制的实验室环境中获得的测试结果,该环境的配置与实际 Amazon EC2 环境并不相符。研究人员指出,在实践中有多个因素大大增加了进行此类攻击的难度。
虽然该报告仅包含假设情况,但我们非常认真地对待观测结果,并将继续研究这些潜在的漏洞。我们还将不断开发各种功能,为用户创建额外的安全保护层。这方面的最新示例包括 AWS Multi-Factor Authentication (AWS MFA),该功能要求提供第二条信息来确认用户身份,从而为客户 AWS 账户的管理提供了另外一层保护。启用 AWS MFA 后,用户除了提供标准的 AWS 账户凭证外,还必须通过其实际拥有的设备提供六位轮换代码,然后才能更改 AWS 账户设置。
此外,用户可以轮换访问凭证(例如 AWS 访问密钥 ID 或 X.509 证书)。这样一来,用户能在不会导致应用程序停止运行的情况下用新的访问凭证无缝替换现有的访问凭证。定期轮换访问凭证可在访问凭证丢失或泄露时进一步保护账户,从而使应用程序变得更安全。