4 Haziran 2011
Amazon Machine Image’ları (AMI) kullanırken, önemli kimlik bilgilerinin genel olarak paylaşılan AMI’lerde yanlışlıkla bırakılmadığından emin olmak için doğru tedbirleri almayı unutmamanız büyük önem taşır. Yakın zamanda, müşterilerin sehven kimlik bilgileri oluşturup genel olarak paylaştığı birkaç durumdan haberdar olduk.
Müşterilerin oluşturulan ve paylaşılan bir genel AMI içerisinde AWS ve üçüncü taraf erişim kimlik bilgilerini yanlışlıkla açığa çıkardığı ve AWS’nin bundan haberdar olduğu durumlarda, AWS bu müşterilerle iletişime geçmiş ve ilgili AMI’yi özel yapmaları ve açığa çıkan kimlik bilgilerini derhal değiştirmeleri yönünde tavsiyede bulunmuştur. Etkilenen müşteriye hemen erişilememesi halinde AWS, müşterinin kişisel AWS ve üçüncü taraf erişim kimlik bilgilerinin daha fazla açığa çıkmaması amacıyla, ilgili AMI’yi müşteri adına özel yapmıştır.
Önceden yüklenmiş bir genel SecureShell (SSH) anahtarı içeren ve pratikte AMI yayıncısına bu AMI’nin tüm çalışan bulut sunucularına uzaktan erişim imkanı tanıyan bir genel AMI’nin söz konusu olduğu ve AWS’nin bundan haberdar olduğu durumlarda AWS, AMI yayıncısıyla iletişime geçmiş ve AMI yayıncısının ilgili AMI’yi özel yapmasını şart koşmuştur. AMI yayıncısına hemen erişilememesi veya yayıncının ilgili AMI’yi özel yapma gereksinimini hızlı bir şekilde karşılamaması halinde AWS, müşterilerimizi korumak amacıyla ilgili AMI’yi özel yapmıştır. Buna ek olarak, etkilenen AMI’nin bulut sunucularını çalıştırdığı tespit edilen tüm müşteriler bilgilendirilmiş ve pratikte AMI yayıncısının uzaktan erişimini engellemek için söz konusu önceden yüklenmiş genel SSH anahtarını kaldırmaları tavsiye edilmiştir. Etkilenen AMI’nin bulut sunucularını çalıştırdığı tespit edilen müşterilere ayrıca mevcut verilerini yedeklemeleri ve varsa yeni bir AMI’ye geçiş yapmaları önemle tavsiye edilmiştir.
Bu güvenlik açıklarından aktif bir şekilde yararlanıldığına dair herhangi bir rapor almadık. Bu belgenin amacı, bir AMI’yi genel erişime açmadan önce önemli kimlik bilgilerini kapsamlı bir şekilde aratıp kaldırmanın hayati öneme sahip olduğunu kullanıcılara hatırlatmaktır. Bu belgenin amacı, bir AMI’yi genel erişime açmadan önce önemli kimlik bilgilerini kapsamlı bir şekilde aratıp kaldırmanın hayati öneme sahip olduğunu kullanıcılara hatırlatmaktır. Genel AMI’leri güvenli şekilde paylaşma ve kullanma konulu bir öğreticiye şuradan ulaşılabilir: http://aws.amazon.com/articles/0155828273219400
AMI’leri güvenli bir şekilde paylaşma hakkında daha fazla rehberliğe şuradan erişilebilir: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
Bu yönergelerin izlenmesi daha iyi bir kullanıcı deneyimi yaratır, kullanıcı bulut sunucularının güvenli olmasını sağlar ve AMI yayıncısını koruyabilir.
Müşteriler, bir genel AMI ile ilgili her türlü güvenlik endişesini aws-security@amazon.com adresinden AWS Security’ye bildirmelidir.