17 Eylül 2009
Yakın tarihli bir raporda, Amazon EC2'de yürütülen ve bir saldırganın belirli hedef işlem bulut sunucusuyla aynı fiziksel sunucuda başka bir işlem bulut sunucusu başlatma olasılığını artırabilecek bulut haritacılık araştırma yöntemleri açıklanmaktadır. Bu raporda belirli bir saldırı tespit edilmemiş olsa da AWS herhangi bir potansiyel güvenlik sorununu çok ciddiye almaktadır ve potansiyel saldırganların raporda açıklanan haritacılık tekniklerini kullanmasını engelleyen önlemleri kullanıma sunma sürecindeyiz.
Raporda, bulut haritacılığı kullanarak EC2'deki işlem bulut sunucularının nasıl sıralanacağını araştırmanın yanı sıra bir saldırganın aynı fiziksel konak sunucuda çalışan bir bulut sunucusuna başarıyla sahip olduktan sonra hedef bulut sunucusundan bilgi almaya çalışan varsayımsal yan kanal saldırıları sunulmaktadır. Sunulan yan kanal teknikleri, gerçek Amazon EC2 ortamıyla eşleşmeyen yapılandırmalar ile dikkatli bir şekilde kontrol edilen bir laboratuvar ortamında gerçekleştirilen test sonuçlarına dayanmaktadır. Araştırmacıların belirttiği üzere, bu tür bir saldırıyı uygulamada önemli ölçüde zor hale getirecek birçok faktör bulunmaktadır.
Bu raporda yalnızca varsayımsal senaryolar yer almasına rağmen gözlemleri çok ciddiye alıyoruz ve bu potansiyel açıkları araştırmaya devam edeceğiz. Kullanıcılarımız için ek güvenlik düzeyi oluşturan özellikler geliştirmeye de devam edeceğiz. Son örnekler arasında, bir kullanıcının kimliğini doğrulamak için ikinci bir bilgi parçası talep ederek müşterilerin AWS hesabının yönetimine ek bir güvenlik katmanı sağlayan AWS Multi-Factor Authentication (AWS MFA) bulunmaktadır. AWS MFA etkinken kullanıcılar AWS hesap ayarlarında değişiklik yapmalarına izin verilmeden önce standart AWS hesap kimlik bilgilerine ek olarak fiziksel olarak sahip oldukları bir cihazdan altı haneli, sürekli değişen bir kod sağlamalıdır.
Buna ek olarak kullanıcılar, erişim kimlik bilgilerini değiştirebilir (ör. AWS Erişim Anahtarı Kimliği veya X.509 Sertifikası). Bu, kullanıcıların uygulamalarda herhangi bir kesinti yaşamadan mevcut erişim kimlik bilgilerini yenisiyle sorunsuz bir şekilde değiştirmelerini sağlar. Erişim kimlik bilgilerinin kaybolması veya açığa çıkması durumunda bir hesabı daha fazla korumak için erişim kimlik bilgilerini düzenli olarak değiştirerek uygulamalar daha güvenli hale getirilebilir.