17 September 2009
Sebuah laporan terbaru menjelaskan metode riset kartografi cloud yang dibuat di Amazon EC2 yang dapat meningkatkan probabilitas penyerang meluncurkan instans komputasi pada server yang sama seperti instans komputasi target tertentu lainnya. Walau tidak ada penyerang tertentu teridentifikasi dalam makalah ini, AWS menindaklanjuti segala potensi masalah keamanan dengan sangat serius dan kami dalam proses untuk meluncurkan perlindungan yang mencegah potensi penggunaan teknik kartografi oleh penyerang yang dijelaskan dalam makalah ini.
Selain untuk menginvestigasi cara mengatur instans komputasi pada EC2 menggunakan kartografi cloud, makalah tersebut ditulis untuk menghadirkan serangan side-channel hipotetis yang mencoba mendapatkan informasi dari instans target setelah penyerang berhasil memiliki instans yang berjalan pada host fisik yang sama. Teknik side-channel yang dihadirkan berdasarkan pada hasil pengujian dari lingkungan lab yang dikontrol secara cermat dengan konfigurasi yang tidak cocok dengan lingkungan aktual Amazon EC2. Seperti yang dikatakan peneliti, terdapat sejumlah faktor yang akan membuat serangan tersebut lebih sulit secara signifikan dalam praktiknya.
Sementara laporan ini hanya berisi skenario hipotetis, kami menjalankan observasi dengan sangat serius dan akan terus menginvestigasi potensi eksploitasi ini. Kami juga akan terus mengembangkan fitur yang membuat level keamanan tambahan bagi para pengguna kami. Contoh baru-baru ini antara lain AWS Multi-Factor Authentication (AWS MFA), yang memberikan lapisan keamanan tambahan bagi pelanggan pada administrasi akun AWS pelanggan dengan meminta informasi kedua untuk mengonfirmasi identitas pengguna. Dengan MFA AWS yang diaktifkan, pengguna harus memberikan kode rotasi berjumlah 6 digit dalam kepemilikan fisiknya selain kredensial akun AWS standar sebelum diizinkan untuk melakukan perubahan pada pengaturan akun AWS mereka.
Selain itu, para pengguna dapat merotasi kredensial akses (misalnya, ID Kunci Akses AWS atau sertifikat X.509). Hal ini memungkinkan pengguna untuk mengganti kredensial akses yang ada dengan yang baru secara lancar tanpa mengakibatkan downtime pada aplikasi. Aplikasi dapat dibuat lebih aman dengan secara rutin merotasi kredensial akses untuk melindungi akun dalam hal kredensial akses hilang atau membahayakan.