專用主機可有助于確保高水平運行性能,并消除一些與多租戶模式相關的風險。但是它們是否就比標準EC2實例更安全呢?
亞馬遜彈性計算云實例有兩種不同的配置:亞馬遜EC2專用主機和專用實例。與在共享服務器上運行的基本EC2實例相比,這兩種配置都提供了額外的安全措施。亞馬遜EC2專用主機在許可證管理方面具有一定的優勢;一些企業可能需要這種實例來確保其合規性要求。而與專用實例相比,亞馬遜EC2專用主機則不會提供額外的安全性。
如果能夠配置正確,那么所有彈性計算云(EC2)實例的安全性都是相當強大的。之前AWS實現中的弱點在于掃描網絡和識別目標服務器IP地址的能力。AWS實施虛擬私有云以允許企業用戶使用軟件定義網絡,而這個軟件定義網絡在AWS數據中心內與其他流量在邏輯上是相互隔離的。這種方式可提供針對來自于不同網絡攻擊的安全措施。
攻擊者如何破壞多租戶模式
安全行業探討了使用意圖窺探鄰居租戶惡意虛擬機來破壞在公有云服務上運行的虛擬機的可能性。這是一項相對較新穎的技術,而且相鄰虛擬機僅限于監聽內存和網卡之間的流量速率,以及CPU使用率的微妙性能變化。在理論上來說,惡意虛擬機可能會使用這一信息來危害加密密鑰,從而將其應用于針對企業IT基礎設施的后續攻擊。
安全研究人員發現可以事先計算惡意虛擬機的啟動時間,以便將它們配置到相同的物理硬件上作為目標應用程序。在一項由美國國家科學基金會資助的研究中,研究人員在相同的物理服務器上配置了監聽應用程序,九成的速率只有14%。
這項測試要求研究人員可以觸發目標企業應用啟動更多的實例,然后計算啟動多達3000個監聽應用實例的時間。當應用于深夜里在AWS區域(例如US-West-1)以較少應用程動時,該過程甚至更有效。他們還可以啟動監聽CPU和內存運行性能差異的代碼,以確定監聽應用是否與目標應用共處。
但是,檢測出這種類型安全漏洞是有著較高水平復雜性要求的,即需要將內存和CPU狀態中的微妙變化轉變成為有用的信息。攻擊者可能需要有關目標應用程序及其配置的詳細信息。這種類型的攻擊還未在實際應用中得到證實。此外,阻止這種方式的攻擊是很容易的:用戶可以在企業應用程序所使用的處理算法中添加少量噪聲即可。
需要考慮的重要因素
對于選擇配置亞馬遜EC2專用實例的企業來說,還是存在著一些小小的安全優勢的,但亞馬遜EC2專用主機卻不是這樣。當管理員使用專用實例和專用主機將企業工作負載與其噪聲鄰居租戶隔離時,也可能會提高性能。但是,這兩個實例都沒有提供超越彼此的額外性能優勢。
總體而言,亞馬遜EC2專用主機允許企業實現成本節省,因為他們能夠重復利用與應用程序供應商談判爭取得到的許可證。在這種情況下,企業會讓他們的會計團隊來審查這些有待權衡的各種因素。這也要求企業審查與AWS BYOL(使用你自己的許可證)配置相關的一些具體規定。
京公網安備 11010502049343號