17 settembre 2009
Un rapporto recente descrive i metodi della ricerca sulla cartografia cloud condotta su Amazon EC2, che potrebbero aumentare la probabilità di un malintenzionato di lanciare un'istanza di calcolo sullo stesso server fisico di un'altra specifica istanza di calcolo target. Sebbene in questo documento non sia stato identificato alcun attacco specifico, AWS prende molto sul serio qualsiasi potenziale problema di sicurezza e siamo in procinto di implementare misure di sicurezza che impediscano ai potenziali malintenzionati di utilizzare le tecniche cartografiche descritte nel documento.
Oltre a indagare su come collocare le istanze di calcolo su EC2 utilizzando la cartografia cloud, il documento presenta anche ipotetici attacchi side-channel che tentano di ottenere informazioni dall'istanza target una volta che un malintenzionato ha eseguito correttamente un'istanza sullo stesso host fisico. Le tecniche di side-channel presentate si basano su risultati di test provenienti da un ambiente di laboratorio accuratamente controllato con configurazioni che non corrispondono all'ambiente di Amazon EC2. Come sottolineano i ricercatori, esiste una serie di fattori che renderebbero tale attacco significativamente più complicato nella pratica.
Sebbene questo rapporto contenga solo scenari ipotetici, prendiamo in seria considerazione queste osservazioni e continueremo a indagare su questi potenziali exploit. Continueremo inoltre a sviluppare funzionalità che creano ulteriori livelli di sicurezza per i nostri utenti. Esempi recenti includono l'AWS Multi-Factor Authentication (AWS MFA), che fornisce ai clienti un ulteriore livello di sicurezza nell'amministrazione dell'account AWS di un cliente richiedendo un secondo elemento informativo per confermare l'identità di un utente. Quando l'AWS MFA è abilitato gli utenti devono fornire, oltre alle credenziali standard dell'account AWS, un codice a sei cifre a rotazione di un dispositivo in loro possesso, prima di poter apportare modifiche alle impostazioni dell'account AWS.
Inoltre, gli utenti possono modificare le credenziali di accesso (ad es. un ID chiave di accesso AWS o un certificato X.509). Questo consente agli utenti di sostituire senza problemi la credenziale di accesso esistente con la nuova senza incorrere in tempi di inattività delle applicazioni. Le applicazioni possono essere rese più sicure tramite la modifica regolare delle credenziali di accesso per proteggere ulteriormente un account in caso di perdita o compromissione delle credenziali di accesso.