亚马逊EC2专用主机可提供哪些安全优势?

日期: 2016-11-29 作者:George Lawton翻译:滕晓龙 来源:TechTarget中国 英文

专用主机可有助于确保高水平运行性能,并消除一些与多租户模式相关的风险。但是它们是否就比标准EC2实例更安全呢?

亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。亚马逊EC2专用主机在许可证管理方面具有一定的优势;一些企业可能需要这种实例来确保其合规性要求。而与专用实例相比,亚马逊EC2专用主机则不会提供额外的安全性。

如果能够配置正确,那么所有弹性计算云(EC2)实例的安全性都是相当强大的。之前AWS实现中的弱点在于扫描网络和识别目标服务器IP地址的能力。AWS实施虚拟私有云以允许企业用户使用软件定义网络,而这个软件定义网络在AWS数据中心内与其他流量在逻辑上是相互隔离的。这种方式可提供针对来自于不同网络攻击的安全措施。

攻击者如何破坏多租户模式

安全行业探讨了使用意图窥探邻居租户恶意虚拟机来破坏在公有云服务上运行的虚拟机的可能性。这是一项相对较新颖的技术,而且相邻虚拟机仅限于监听内存和网卡之间的流量速率,以及CPU使用率的微妙性能变化。在理论上来说,恶意虚拟机可能会使用这一信息来危害加密密钥,从而将其应用于针对企业IT基础设施的后续攻击。

安全研究人员发现可以事先计算恶意虚拟机的启动时间,以便将它们配置到相同的物理硬件上作为目标应用程序。在一项由美国国家科学基金会资助的研究中,研究人员在相同的物理服务器上配置了监听应用程序,九成的速率只有14%。

这项测试要求研究人员可以触发目标企业应用启动更多的实例,然后计算启动多达3000个监听应用实例的时间。当应用于深夜里在AWS区域(例如US-West-1)以较少应用程动时,该过程甚至更有效。他们还可以启动监听CPU和内存运行性能差异的代码,以确定监听应用是否与目标应用共处。

但是,检测出这种类型安全漏洞是有着较高水平复杂性要求的,即需要将内存和CPU状态中的微妙变化转变成为有用的信息。攻击者可能需要有关目标应用程序及其配置的详细信息。这种类型的攻击还未在实际应用中得到证实。此外,阻止这种方式的攻击是很容易的:用户可以在企业应用程序所使用的处理算法中添加少量噪声即可。

需要考虑的重要因素

对于选择配置亚马逊EC2专用实例的企业来说,还是存在着一些小小的安全优势的,但亚马逊EC2专用主机却不是这样。当管理员使用专用实例和专用主机将企业工作负载与其噪声邻居租户隔离时,也可能会提高性能。但是,这两个实例都没有提供超越彼此的额外性能优势。

总体而言,亚马逊EC2专用主机允许企业实现成本节省,因为他们能够重复利用与应用程序供应商谈判争取得到的许可证。在这种情况下,企业会让他们的会计团队来审查这些有待权衡的各种因素。这也要求企业审查与AWS BYOL(使用你自己的许可证)配置相关的一些具体规定。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐