2009年云计算风靡全球,亚马逊、微软等诸多公司提供的云计算产品和服务可以让广大的中小企业用户不用购买IT硬件设备,就能够以较低的成本获得所需要的计算能力,并在上面运行自己的应用。如亚马逊公司的EC2云计算机就是其中非常典型的代表,通过虚拟机技术在一台物理服务器上运行多个不同的操作环境,供多个不同用户使用,用户通过在WEB上输入用户名和密码访问自己的资源,最终用户甚至根本不知道自己的应用运行在哪一台物理机器上面。
亚马逊的EC2云服务器
然而,云计算也带来了一些新的安全问题,由于你要和其他所不知道的用户共享IT基础架构,安全的重要性确实非同小可。实际上,云计算的安全问题至今还没有被业界完全认清。近日,美国加州大学圣地亚哥分校和麻省理工学院的研究人员就发现,EC2存在安全隐患。
在对EC2的测试过程中,研究人员发现,通过现在所知的一种被称作“旁道攻击”(side-channel attacks )的技术,就可以对EC2计算机发起攻击。旁道攻击是一种针对密码设备的新型攻击技术,它并不是直接获取计算机里存储的信息,而是通过一种间接的方式,比如,通过对电脑屏幕和键盘所产生的电磁辐射信息进行分析,就可以知道这台计算机正在做什么。
研究人员通过在EC2计算机中植入他们的软件就可以发动旁道攻击,可以对EC2云中运行的程序所运行的物理服务器进行准确定位,进而可以获得这些程序的少量数据。虽然安全专家认为,这种旁道攻击的安全威胁目前还比较小,但他们也相信这有可能会导致更加严重的云计算安全问题出现。
华盛顿大学计算机系的副教授Tadayoshi Kohno表示,今天人们在决策使用云计算时都比较谨慎,很多人关心能不能对那些承载着自己数据的物理服务器加以控制。“旁道研究会带来一系列新问题,虽然其威胁到底有多大现在还不是很清楚,但这无疑会让很多人在使用EC2等云服务时变得更加疑虑。”
实际上,在过去的10年中,由旁道攻击引发的偶然的数据泄漏已经成为了袭击者获取密码的一种方法。比如2001年,加州大学伯克利分校的研究人员发现,通过对键盘敲击在网络上所产生的流量进行统计分析,即便计算机的数据流已经实现了SSH加密,但仍然能够获知用户名和密码信息。
虽然加州大学圣地亚哥分校和麻省理工学院的研究人员还无法精确地做到这一步,但他们认为,其研究有可能会开辟一个全新的研究领域。加州大学圣地亚哥分校副教授Stefan Savage,是此次研究报告的合作者之一,他说,“旁道攻击已经出现多年,现有的一台虚拟机无法确实防御所有这些旁道攻击。”
通过对计算机内存缓存进行分析,研究人员能够获得一些基本信息,比如同一个计算机上的其他用户什么时候通过键盘来访问计算机,即便终端已经实现SSH加密。他们相信,通过使用与伯克利研究人员相同的技术,通过测量键盘敲击的时间间隔,就可以最终知道敲击的具体字符是什么。
Stefan Savage和他的三位合作者现在已经能够测量缓存的活动,特别是当计算机正在执行一些简单任务时,比如装载某个WEB页面时。他们认为,这种方法可以用来做一些事情,比如知道有多少互联网用户正在访问服务器,甚至知道他们正在浏览的具体页面。
为了让他们在实验中的简单攻击生效,研究人员不仅需要知道哪一台EC2计算机正在运行他们计划攻击的应用程序,还需要知道通过什么路径将他们自己的软件植入到这台计算机中去。要做到一这点,显然并不容易,因为云计算,从其本质定义上来说,其背后的IT资源分布情况对前端的用户都是透明的。
但是,通过对DNS流量进行深度分析以及使用traceroute这样的网络监控工具软件,研究人员还是可以将其攻击代码植入到同一台服务器上去,其成功机率大约在40%左右。Savage表示,这种对EC2的攻击成本非常低,仅需要几美元。
一家专业安全咨询顾问公司iSEC Partners的合伙人Alex Stamos也谈到,虚拟机虽然可以很好地将操作系统和上面的应用程序进行隔离,但是由于计算机资源是共享的,对于上面的旁道攻击程序来说,仍然是后门大开。“未来5年,人们需要对这种全新的漏洞进行修复。”
他的公司也在和一些对云计算感兴趣的客户正在合作,客户们对和其他人共享同一台机器的模式比较谨慎。“我相信在用户需求的推动下,云计算供应商能够为他们的客户提供专有的物理机。”
亚马逊公司目前还没有对这种旁道攻击加以具体置评。上周四该公司的一位发言人称,“我们会非常认真地对待所有的安全问题,我们知道有旁道攻击这方面的研究,现在公司正在调查,未来会对我们的安全中心进行升级。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
看“风水反转”技术如何危害云安全
在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。
-
亚马逊EC2专用主机可提供哪些安全优势?
亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。
-
克服云安全挑战:专家五个提示
云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。
-
确保AWS安全:避免犯常见错误
如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。