17 de septiembre de 2009
Un informe reciente describe métodos de investigación de cartografía en la nube realizados en Amazon EC2 que podrían aumentar la probabilidad de que un atacante lance una instancia de cálculo en el mismo servidor físico que otra instancia de cálculo específica de destino. Si bien en este informe no se identificaron ataques específicos, AWS se toma muy en serio todo posible problema de seguridad y estamos en el proceso de desplegar salvaguardas que eviten que los posibles atacantes utilicen las técnicas cartográficas descritas en el informe.
Además de investigar cómo colocar instancias de cálculo en EC2 mediante el uso de la cartografía en la nube, este informe presenta ataques hipotéticos de canal lateral que tratan de obtener información de la instancia de destino una vez que un atacante tenga una instancia exitosa en ejecución en el mismo host físico. Las técnicas de canal lateral que se presentan se basan en los resultados de las pruebas realizadas en un entorno de laboratorio cuidadosamente controlado con configuraciones que no coincidan con el entorno real de Amazon EC2. Como señalan los investigadores, hay varios factores que complicarían en gran medida ese ataque en la práctica.
Si bien este informe solo contenía situaciones hipotéticas, nos tomamos muy en serio las observaciones y seguiremos investigando estas posibles hazañas. También continuaremos desarrollando características que creen más niveles de seguridad para nuestros usuarios. Ejemplos recientes incluyen AWS Multi-Factor Authentication (AWS MFA), que proporciona a los clientes otra capa de seguridad a la administración de su cuenta AWS al requerir un segundo tipo de información para confirmar la identidad de un usuario. Al habilitar AWS MFA y antes de que puedan hacer cambios en la configuración de su cuenta AWS, los usuarios deben proporcionar un código rotativo de seis dígitos de un dispositivo en su posesión física, además de sus credenciales de la cuenta estándar AWS.
Además, los usuarios pueden rotar las credenciales de acceso (p. ej., un ID de clave de acceso de AWS o un certificado X.509). De esta manera, los usuarios pueden sustituir sin problemas la credencial de acceso actual por la nueva sin incurrir en ningún tiempo de inactividad de las aplicaciones. Se puede aumentar la seguridad de las aplicaciones al rotar con regularidad las credenciales de acceso para proteger aún más una cuenta en caso de que dichas credenciales se pierdan o afecten.