2009 年 9 月 17 日
最近の報告書には、Amazon EC2 で実施されたクラウドマップ研究手法が説明されており、これは攻撃者が同じ物理サーバー上に別の特定ターゲットコンピューティングインスタンスとしてコンピューティングインスタンスを起動する確率を高める可能性があります。この報告書に具体的な攻撃についての記載はありませんが、AWS はいかなるもセキュリティ問題も極めて真剣に受け止め、潜在的な攻撃者が本書で説明されているマップ作成技法を使用することを防ぐ防衛手段を展開するためのプロセスを進めています。
クラウドマップを使って EC2 上のコンピューティングインスタンスを配列する方法の調査に加えて、本報告書ではさらに、攻撃者が同じ物理ホスト上におけるインスタンスの実行に成功した後で、ターゲットインスタンスから情報を得ようとする仮定上のサイドチャネル攻撃も提起されています。提示されているサイドチャネル技法は、実際の Amazon EC2 環境とは一致しない構成の慎重に制御されたラボ環境からのテスト結果に基づいています。研究者が指摘しているように、このような攻撃を実際に行うことを著しく困難にする多数の要因が存在します。
この報告書には仮定上のシナリオしか記載されていませんが、AWS ではこの所見を極めて真剣に受け止めており、今後もこれらの潜在的なエクスプロイトの調査を継続していきます。また、AWS のユーザーのためにセキュリティレベルを高める機能の開発も継続していきます。最近の例には AWS Multi-Factor Authentication (AWS MFA) があり、これはユーザーのアイデンティティを確認するために 2 つ目の情報を要求することによって、お客様にその AWS アカウントの管理に対する追加のセキュリティレイヤーを提供します。AWS MFA を有効にすると、ユーザーは AWS アカウント設定に変更を行う許可を得る前に、標準的な AWS アカウント認証情報に加えて、ユーザーが物理的に所有するデバイスからの 6 桁のローテーションコードを提供する必要があります。
さらに、ユーザーはアクセス認証情報 (例: AWS アクセスキー ID または X.509 証明書) をローテートさせることもできます。これは、ユーザーがアプリケーションのダウンタイムを発生させることなく、既存のアクセス認証情報を新しいものにシームレスに交換することを可能にします。アプリケーションは、アクセス認証情報の喪失または漏洩が発生した場合にアカウントをさらに保護するためにも、アクセス認証情報を定期的にローテートすることによって、さらにセキュアにすることができます。