專用主機(jī)可有助于確保高水平運(yùn)行性能,并消除一些與多租戶模式相關(guān)的風(fēng)險(xiǎn)。但是它們是否就比標(biāo)準(zhǔn)EC2實(shí)例更安全呢?
亞馬遜彈性計(jì)算云實(shí)例有兩種不同的配置:亞馬遜EC2專用主機(jī)和專用實(shí)例。與在共享服務(wù)器上運(yùn)行的基本EC2實(shí)例相比,這兩種配置都提供了額外的安全措施。亞馬遜EC2專用主機(jī)在許可證管理方面具有一定的優(yōu)勢(shì);一些企業(yè)可能需要這種實(shí)例來(lái)確保其合規(guī)性要求。而與專用實(shí)例相比,亞馬遜EC2專用主機(jī)則不會(huì)提供額外的安全性。
如果能夠配置正確,那么所有彈性計(jì)算云(EC2)實(shí)例的安全性都是相當(dāng)強(qiáng)大的。之前AWS實(shí)現(xiàn)中的弱點(diǎn)在于掃描網(wǎng)絡(luò)和識(shí)別目標(biāo)服務(wù)器IP地址的能力。AWS實(shí)施虛擬私有云以允許企業(yè)用戶使用軟件定義網(wǎng)絡(luò),而這個(gè)軟件定義網(wǎng)絡(luò)在AWS數(shù)據(jù)中心內(nèi)與其他流量在邏輯上是相互隔離的。這種方式可提供針對(duì)來(lái)自于不同網(wǎng)絡(luò)攻擊的安全措施。
攻擊者如何破壞多租戶模式
安全行業(yè)探討了使用意圖窺探鄰居租戶惡意虛擬機(jī)來(lái)破壞在公有云服務(wù)上運(yùn)行的虛擬機(jī)的可能性。這是一項(xiàng)相對(duì)較新穎的技術(shù),而且相鄰虛擬機(jī)僅限于監(jiān)聽(tīng)內(nèi)存和網(wǎng)卡之間的流量速率,以及CPU使用率的微妙性能變化。在理論上來(lái)說(shuō),惡意虛擬機(jī)可能會(huì)使用這一信息來(lái)危害加密密鑰,從而將其應(yīng)用于針對(duì)企業(yè)IT基礎(chǔ)設(shè)施的后續(xù)攻擊。
安全研究人員發(fā)現(xiàn)可以事先計(jì)算惡意虛擬機(jī)的啟動(dòng)時(shí)間,以便將它們配置到相同的物理硬件上作為目標(biāo)應(yīng)用程序。在一項(xiàng)由美國(guó)國(guó)家科學(xué)基金會(huì)資助的研究中,研究人員在相同的物理服務(wù)器上配置了監(jiān)聽(tīng)?wèi)?yīng)用程序,九成的速率只有14%。
這項(xiàng)測(cè)試要求研究人員可以觸發(fā)目標(biāo)企業(yè)應(yīng)用啟動(dòng)更多的實(shí)例,然后計(jì)算啟動(dòng)多達(dá)3000個(gè)監(jiān)聽(tīng)?wèi)?yīng)用實(shí)例的時(shí)間。當(dāng)應(yīng)用于深夜里在AWS區(qū)域(例如US-West-1)以較少應(yīng)用程動(dòng)時(shí),該過(guò)程甚至更有效。他們還可以啟動(dòng)監(jiān)聽(tīng)CPU和內(nèi)存運(yùn)行性能差異的代碼,以確定監(jiān)聽(tīng)?wèi)?yīng)用是否與目標(biāo)應(yīng)用共處。
但是,檢測(cè)出這種類型安全漏洞是有著較高水平復(fù)雜性要求的,即需要將內(nèi)存和CPU狀態(tài)中的微妙變化轉(zhuǎn)變成為有用的信息。攻擊者可能需要有關(guān)目標(biāo)應(yīng)用程序及其配置的詳細(xì)信息。這種類型的攻擊還未在實(shí)際應(yīng)用中得到證實(shí)。此外,阻止這種方式的攻擊是很容易的:用戶可以在企業(yè)應(yīng)用程序所使用的處理算法中添加少量噪聲即可。
需要考慮的重要因素
對(duì)于選擇配置亞馬遜EC2專用實(shí)例的企業(yè)來(lái)說(shuō),還是存在著一些小小的安全優(yōu)勢(shì)的,但亞馬遜EC2專用主機(jī)卻不是這樣。當(dāng)管理員使用專用實(shí)例和專用主機(jī)將企業(yè)工作負(fù)載與其噪聲鄰居租戶隔離時(shí),也可能會(huì)提高性能。但是,這兩個(gè)實(shí)例都沒(méi)有提供超越彼此的額外性能優(yōu)勢(shì)。
總體而言,亞馬遜EC2專用主機(jī)允許企業(yè)實(shí)現(xiàn)成本節(jié)省,因?yàn)樗麄兡軌蛑貜?fù)利用與應(yīng)用程序供應(yīng)商談判爭(zhēng)取得到的許可證。在這種情況下,企業(yè)會(huì)讓他們的會(huì)計(jì)團(tuán)隊(duì)來(lái)審查這些有待權(quán)衡的各種因素。這也要求企業(yè)審查與AWS BYOL(使用你自己的許可證)配置相關(guān)的一些具體規(guī)定。