Ngày 17 tháng 9 năm 2009
Một báo cáo gần đây mô tả các phương pháp nghiên cứu bản đồ học đám mây được thực hiện trên Amazon EC2 có thể tăng khả năng kẻ tấn công sẽ khởi chạy một phiên bản tính toán trên cùng một máy chủ thực như phiên bản tính toán đích cụ thể khác. Mặc dù không xác định cuộc tấn công cụ thể nào trong báo cáo này, nhưng AWS rất coi trọng mọi sự cố bảo mật có thể xảy ra và chúng tôi đang triển khai các biện pháp bảo vệ giúp ngăn chặn kẻ tấn công tiềm ẩn sử dụng kỹ thuật bản đồ học mô tả trong báo cáo này.
Ngoài việc điều tra cách sắp xếp các phiên bản tính toán trên EC2 bằng bản đồ học đám mây, báo cáo trình bày các cuộc tấn công kênh bên giả định tìm cách lấy thông tin từ phiên bản đích sau khi kẻ tấn công có được phiên bản chạy trên chính máy chủ thực đó. Các kỹ thuật kênh bên đã trình bày dựa vào kết quả kiểm tra từ môi trường phòng thực hành được kiểm soát kỹ lưỡng bằng các cấu hình không phù hợp với môi trường Amazon EC2 thực tế. Như các nhà nghiên cứu chỉ ra, có nhiều yếu tố khiến cuộc tấn công khó khăn hơn đáng kể khi thực hiện.
Mặc dù báo cáo này chỉ chứa các tình huống giả định, nhưng chúng tôi rất coi trọng các quan sát và sẽ tiếp tục điều tra các kết quả tiềm ẩn này. Chúng tôi cũng sẽ tiếp tục triển khai các tính năng giúp tạo ra mức độ bảo mật bổ sung cho người dùng của mình. Các ví dụ gần đây bao gồm AWS Multi-Factor Authentication (AWS MFA), cung cấp cho khách hàng lớp bảo mật bổ sung vào hoạt động quản lý tài khoản AWS của khách hàng bằng cách yêu cầu phần thông tin thứ hai để xác nhận danh tính của người dùng. Khi bật AWS MFA, người dùng phải cung cấp mã xoay vòng gồm 6 chữ số từ thiết bị họ sở hữu thực ngoài thông tin đăng nhập tài khoản AWS tiêu chuẩn thì mới được phép thay đổi cài đặt tài khoản AWS của mình.
Ngoài ra, người dùng có thể xoay vòng thông tin đăng nhập truy nhập (ví dụ: ID khóa truy nhập AWS hoặc Chứng chỉ X.509). Nhờ vậy, người dùng có thể thay thế trơn tru thông tin chứng danh truy nhập hiện tại bằng thông tin mới mà không gây ra thời gian ngừng cho ứng dụng. Các ứng dụng có thể được bảo mật hơn bằng cách thường xuyên xoay vòng thông tin đăng nhập truy nhập để bảo vệ tài khoản tốt hơn trong trường hợp thông tin đăng nhập truy nhập bị mất hoặc bị xâm nhập.