17 กันยายน 2009
รายงานล่าสุดอธิบายถึงวิธีการวิจัยการทำแผนที่ระบบคลาวด์ที่ดำเนินการบน Amazon EC2 ซึ่งสามารถเพิ่มโอกาสของผู้โจมตีในการเปิดใช้อินสแตนซ์การประมวลผลบนเซิร์ฟเวอร์ทางกายภาพเดียวกันกับอินสแตนซ์การประมวลผลเป้าหมายเฉพาะอื่น แม้ว่าจะไม่มีการระบุการโจมตีเฉพาะในเอกสารฉบับนี้ แต่ AWS ก็ให้ความสำคัญกับปัญหาด้านความปลอดภัยอย่างจริงจัง และเรากำลังเริ่มใช้มาตรการรักษาความปลอดภัยเพื่อป้องกันผู้โจมตีที่อาจใช้เทคนิคการทำแผนที่ที่อธิบายไว้ในเอกสารฉบับนี้
นอกจากการตรวจสอบวิธีการจัดวางอินสแตนซ์การประมวลผลบน EC2 โดยใช้การทำแผนที่ระบบคลาวด์แล้ว เอกสารฉบับนี้ยังอธิบายการโจมตีแบบ side channel ที่น่าสงสัย ซึ่งพยายามรับข้อมูลจากอินสแตนซ์เป้าหมาย เมื่อผู้โจมตีมีอินสแตนซ์ที่ทำงานบนโฮสต์ทางกายภาพเดียวกันได้สำเร็จ เทคนิคการโจมตีแบบ side channel ที่แสดงจะขึ้นอยู่กับผลการทดสอบจากสภาพแวดล้อมของแล็บที่ได้รับการควบคุมอย่างระมัดระวังด้วยการกำหนดค่าที่ไม่ตรงกับสภาพแวดล้อมของ Amazon EC2 ตามจริง ตามที่นักวิจัยได้เน้นย้ำ มีปัจจัยหลายประการที่ทำให้การโจมตีดังกล่าวมีความยากมากขึ้นในการนำไปปฏิบัติ
แม้รายงานนี้มีเพียงสถานการณ์สมมุติ แต่เราจะสังเกตการณ์อย่างจริงจังและดำเนินการตรวจสอบการใช้ประโยชน์ที่อาจเกิดขึ้นเหล่านี้ต่อไป นอกจากนี้ เรายังคงเดินหน้าพัฒนาคุณสมบัติที่สร้างระดับความปลอดภัยที่เพิ่มขึ้นสำหรับผู้ใช้ของเรา ตัวอย่างล่าสุด ได้แก่ AWS Multi-Factor Authentication (AWS MFA) ซึ่งให้ความปลอดภัยเพิ่มเติมแก่ลูกค้าในการบริหารบัญชี AWS ของลูกค้าโดยกำหนดให้มีข้อมูลส่วนที่สองเพื่อยืนยันตัวตนของผู้ใช้ เมื่อเปิดใช้งาน AWS MFA ผู้ใช้จะต้องใส่รหัสหกหลักที่สับเปลี่ยนได้จากอุปกรณ์ที่มีอยู่ในครอบครอง นอกจากข้อมูลประจำตัวสำหรับบัญชี AWS มาตรฐานของตนก่อนที่จะได้รับอนุญาตให้ทำการเปลี่ยนแปลงการตั้งค่าบัญชี AWS ของผู้ใช้
นอกจากนี้ ผู้ใช้ยังสามารถสับเปลี่ยนข้อมูลประจำตัวสำหรับการเข้าถึง (เช่น รหัสคีย์การเข้าถึง AWS หรือใบรับรอง X.509) ส่วนนี้ทำให้ผู้ใช้สามารถแทนที่ข้อมูลประจำตัวสำหรับการเข้าถึงที่มีอยู่เดิมได้อย่างราบรื่นด้วยข้อมูลประจำตัวใหม่โดยไม่ทำให้แอปพลิเคชันหยุดทำงาน สามารถทำให้แอปพลิเคชันมีความปลอดภัยมากขึ้นโดยการสับเปลี่ยนข้อมูลประจำตัวสำหรับการเข้าถึงเป็นประจำเพื่อป้องกันบัญชีในกรณีที่ข้อมูลประจำตัวสำหรับการเข้าถึงเหตุการณ์สูญหายหรือถูกบุกรุก