2009 年 9 月 17 日
最新的報告描述了 Amazon EC2 上執行的雲端製圖研究方法,這會增加攻擊者在與另一個特定目標運算執行個體相同的實體伺服器上啟動運算執行個體的可能性。本文中未識別任何特定的攻擊,AWS 嚴肅對待任何潛在的安全問題,且我們正在制訂保護措施來防範潛在的攻擊者使用文件中描述的製圖技巧。
為調查如何在 EC2 上使用雲端製圖共置運算執行個體,該文件繼續呈現假設旁路攻擊,其試圖在攻擊者成功在同一個實體主機上執行執行個體時從目標執行個體取得資訊。所呈現的旁路技巧是基於精心控制的實驗室環境測試結果,其組態不符合實際 Amazon EC2 環境。如調查所指出,有多種因素使此類攻擊明顯難以實作。
雖然此報告僅保護假設情境,我們非常重視觀察,並將繼續調查這些潛在入侵程式。我們還將繼續開發提升使用者安全度的功能。近期範例包括 AWS Multi-Factor Authentication (AWS MFA),可為客戶的 AWS 帳戶提供額外的管理安全性,方式是要求第二條資訊來確認使用者的身分。啟用 AWS MFA 後,除了標準的 AWS 帳戶憑證,使用者還必須提供其實際擁有的裝置的六位數旋轉程式碼,才允許其對 AWS 帳戶設定做出變更。
此外,使用者可以旋轉存取憑證 (例如,AWS 存取金鑰 ID 或 X.509 憑證)。這可讓使用者順利使用新存取憑證取代現有憑證,而不會導致應用程式產生任何停機情況。可以透過定期旋轉存取憑證,進一步保護帳戶,避免存取憑證遺失或損壞,讓應用程式更安全。