专用主机可有助于确保高水平运行性能,并消除一些与多租户模式相关的风险。但是它们是否就比标准EC2实例更安全呢?
亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。亚马逊EC2专用主机在许可证管理方面具有一定的优势;一些企业可能需要这种实例来确保其合规性要求。而与专用实例相比,亚马逊EC2专用主机则不会提供额外的安全性。
如果能够配置正确,那么所有弹性计算云(EC2)实例的安全性都是相当强大的。之前AWS实现中的弱点在于扫描网络和识别目标服务器IP地址的能力。AWS实施虚拟私有云以允许企业用户使用软件定义网络,而这个软件定义网络在AWS数据中心内与其他流量在逻辑上是相互隔离的。这种方式可提供针对来自于不同网络攻击的安全措施。
攻击者如何破坏多租户模式
安全行业探讨了使用意图窥探邻居租户恶意虚拟机来破坏在公有云服务上运行的虚拟机的可能性。这是一项相对较新颖的技术,而且相邻虚拟机仅限于监听内存和网卡之间的流量速率,以及CPU使用率的微妙性能变化。在理论上来说,恶意虚拟机可能会使用这一信息来危害加密密钥,从而将其应用于针对企业IT基础设施的后续攻击。
安全研究人员发现可以事先计算恶意虚拟机的启动时间,以便将它们配置到相同的物理硬件上作为目标应用程序。在一项由美国国家科学基金会资助的研究中,研究人员在相同的物理服务器上配置了监听应用程序,九成的速率只有14%。
这项测试要求研究人员可以触发目标企业应用启动更多的实例,然后计算启动多达3000个监听应用实例的时间。当应用于深夜里在AWS区域(例如US-West-1)以较少应用程动时,该过程甚至更有效。他们还可以启动监听CPU和内存运行性能差异的代码,以确定监听应用是否与目标应用共处。
但是,检测出这种类型安全漏洞是有着较高水平复杂性要求的,即需要将内存和CPU状态中的微妙变化转变成为有用的信息。攻击者可能需要有关目标应用程序及其配置的详细信息。这种类型的攻击还未在实际应用中得到证实。此外,阻止这种方式的攻击是很容易的:用户可以在企业应用程序所使用的处理算法中添加少量噪声即可。
需要考虑的重要因素
对于选择配置亚马逊EC2专用实例的企业来说,还是存在着一些小小的安全优势的,但亚马逊EC2专用主机却不是这样。当管理员使用专用实例和专用主机将企业工作负载与其噪声邻居租户隔离时,也可能会提高性能。但是,这两个实例都没有提供超越彼此的额外性能优势。
总体而言,亚马逊EC2专用主机允许企业实现成本节省,因为他们能够重复利用与应用程序供应商谈判争取得到的许可证。在这种情况下,企业会让他们的会计团队来审查这些有待权衡的各种因素。这也要求企业审查与AWS BYOL(使用你自己的许可证)配置相关的一些具体规定。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
AWS与合作伙伴的平衡行为让用户困惑不已
AWS的合作伙伴是其日益发展生态系统中的重要组成部分,但是如何在第三方服务和让人无尽等待的原厂工具之间进行选择,已成为了摆在用户面前的难题。
-
AWS降价模式反映了云的发展与成熟
AWS针对其弹性计算云实例推出了降价,虽然其降价幅度和宽度并不与往年一样。虽然AWS在其历史上实施了第51次的降价,但是云价格大战最血腥的日子可能还在后面。
-
AWS Auto Scaling组失控“暴走”:用户付出惨痛代价
AWS Auto Scaling组不断重复启动,杀掉实例会让一家企业增加许多额外的支出。严格管理的配置可以防止这个问题。
-
微服务火了 AWS可用性也提升了
目前,一些大型企业都在AWS的基础之上部署微服务架构。这一举措能够为企业带来什么样的好处呢?