04. Juni 2011
Bei der Verwendung von Amazon Machine Images (AMIs) ist es wichtig, die geeigneten Vorkehrungen zu treffen, damit sensible Anmeldedaten nicht unbeabsichtigt auf AMIs verbleiben, wenn sie öffentlich geteilt werden. Wir wurden auf einige Situationen aufmerksam gemacht, in denen Kunden Anmeldedaten erstellt und unwissentlich öffentlich geteilt haben.
In den Fällen, in denen AWS darauf aufmerksam gemacht wurde, dass Kunden unbeabsichtigt AWS- und Drittanbieter-Zugangsdaten in einem öffentlich geteilten AMI offengelegt haben, hat AWS diese Kunden kontaktiert und Sie dazu aufgefordert, das entsprechende AMI zu privat umzustellen und die offengelegten Anmeldedaten sofort zu ändern. In den Fällen, in denen der betroffene Kunde nicht sofort erreicht werden konnte, hat AWS das entsprechende AMI anstelle des Kunden zu privat umgestellt, um jede weitere Offenlegung der persönlichen AWS- und Drittanbieter-Anmeldedaten zu verhindern.
In Fällen, in denen AWS auf ein öffentliches AMI aufmerksam gemacht wurde, das einen vorinstallierten SSH-Schlüssel (SecureShell) enthielt, wodurch der AMI-Herausgeber einen Remote-Zugriff auf alle laufenden Instances dieses AMI erhält, hat AWS den AMI-Herausgeber kontaktiert und ihn aufgefordert, das entsprechende AMI zu privat umzustellen. In Fällen, in denen der AMI-Herausgeber nicht sofort erreicht werden konnte oder das entsprechende AMI nicht schnell genug zu privat umgestellt hat, hat AWS dies für ihn erledigt, um die Kunden zu schützen. Zusätzlich wurden alle Kunden, bei denen festgestellt wurde, dass sie Instances des betroffenen AMI verwenden, benachrichtigt und dazu aufgefordert, die problematischen vorinstallierten öffentlichen SSH-Schlüssel zu entfernen, wodurch der Remote-Zugriff des AMI-Herausgebers blockiert wird. Kunden, bei denen festgestellt wurde, dass sie Instances des betroffenen AMI ausführen, wurden auch dazu aufgefordert, Backups ihrer vorhandenen Daten zu erstellen und nach Möglichkeit zu einem neueren AMI zu migrieren.
Wir haben keine Berichte darüber erhalten, dass diese Schwachstellen aktiv ausgenutzt wurden. Der Zweck dieses Dokuments besteht darin, die Benutzer daran zu erinnern, dass es äußerst wichtig ist, ein AMI gründlich zu durchsuchen und alle wichtigen Anmeldedaten zu entfernen, bevor es öffentlich zur Verfügung gestellt wird. Der Zweck dieses Dokuments besteht darin, die Benutzer daran zu erinnern, dass es äußerst wichtig ist, ein AMI gründlich zu durchsuchen und alle wichtigen Anmeldedaten zu entfernen, bevor es öffentlich zur Verfügung gestellt wird. Ein Tutorial zum sicheren Teilen und Verwenden von öffentlichen AMIs finden Sie hier: http://aws.amazon.com/articles/0155828273219400
Weitere Informationen zum sicheren Teilen von AMIs erhalten Sie hier: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
Wenn diese Richtlinien befolgt werden, verbessert sich die Benutzererfahrung, die Instances der Benutzer werden sicherer und der AMI-Herausgeber ist besser geschützt.
Kunden sollten alle Sicherheitsprobleme bei einem öffentlichen AMI an die AWS Sicherheit melden: aws-security@amazon.com