本周,随着成千上万的云彩粉丝下降拉斯维加斯亚马逊网络服务的RE:发明会议马萨诸塞州的研究人员对所有多租户云环境的安全性提出了新的问题。
伍斯特理工学院的一批教授在最近发表的纸张中展示了“说真的,离我的云远点!公有云中跨虚拟机RSA密钥恢复“AWS虚拟机中使用的秘密密码键的概念黑客证明。现在修补的缺陷 - 没有特定于AWS - 展示了黑客理论上可以获得用于加密敏感数据的用户的密钥。
+更多信息请访问网有个足球雷竞技app络世界:Gartner:简化IT安全来对抗不可避免的黑客|AWS最热产品:2015年发明+
安全专家表示,使用这种特定攻击的风险相当低,因为脆弱的加密库已经打了补丁。但是,他们表示,这确实引起了多租户云环境中安全最佳实践的质疑。
WPI研究人员使用它通常被称为“侧通道攻击”,这允许黑客从共享相同物理服务器上共享虚拟机的其他用户收集信息。
然而,执行攻击并不简单。It includes spinning up a virtual machine in AWS’s cloud (although this vulnerability could work in any virtualized environment) and running a test to see if other VMs using the same physical host are running a certain library - named Libgcrypt - for their RSA encryption (RSA the open source encryption algorithm, not the commercial product). Once researchers were able to identify a vulnerable library, they were able to use a cross-VM “Prime and Probe” technique to analyze the cache left on the Intel processor to collect a vast amount of information. The researchers were able to deduce the secret encryption key from the plethora of “noisy” information that comes along with the cache.
您可以阅读整个描述这里的攻击方法和漏洞。自2月以来,受影响的Libgcrypt库已被修补,防止此特定攻击再次执行。
安全公司Dyadic的首席科学家和联合创始人耶胡达·林德尔(Yehuda Lindell)说,这个漏洞非常复杂,接近于“魔法”。Dyadic拥有一款保护秘密密码密钥的产品。他说,但从安全的角度来看,这证明了云等共享环境的缺点。
“虽然艰难的攻击执行,但这种情况进一步突出了秘密钥匙脆弱的事实,无论他们在哪里。它们更容易受到云和虚拟化的环境,在那里您的直接控制较少。可以通过适当地防止这种特定的攻击修补,因为它的2009前身是。然而,施林说,攻击类型几乎是不可能的,“林德尔说。
用户可以采取一系列步骤来保护自己免受此类潜在的侧通道漏洞的侵害。首先也是最重要的是,客户必须使用最新的软件,并在开源软件的所有补丁可用时立即安装它们。在研究人员发现这个漏洞后,这个特定的库很快就打了补丁。
与此攻击相关的最大问题可能是多租户云对于非常敏感的工作负载的可行性。如果用户对此感到担忧,但希望留在AWS的云内,他们可以支付额外的费用使用专用实例,AWS称专用实例运行在“专门为单个客户提供的硬件”上,并且“在主机级别上物理隔离”。这与传统的弹性计算云(EC2)实例相比较,后者在虚拟环境中共享硬件。
AWS还为客户提供硬件安全模块(HSM),这是客户放置在自己的数据中心中存储密钥的设备。雷竞技电脑网站客户也有其他选择,包括使用并置或托管主机提供商,它们可以为客户提供对整个物理服务器的访问,而不是虚拟服务器。
当然,市场上有各种安全产品也适用于这个问题。林德尔是首席科学家的二元,已经开发了一种方法来跨多个主机传播加密键,因此没有一个单个VM具有所有键。
笔记当前位置此文发表后,美国焊接学会发言人发表声明如下
这项研究并没有证明Amazon EC2中存在真实世界中的漏洞。AWS客户RSA密钥不暴露的风险使用报告中所述的技术,代表学术运动在Amazon EC2上,要求攻击者和受害者pre-coordination,使用过时的、脆弱的第三方软件,重复不切实际的执行一个特定的程序以获得成功。不过,我们可以欣赏这项研究如何突出了从商用现成处理器的共享缓存中可能提取信息的主题,从而可以通过与行业伙伴的协作解决这个问题。我们甚至定期评估最不可能的场景,以提高AWS的安全性,进而提高AWS客户的安全性,我们欢迎独立的投入来帮助这方面的工作。我们建议客户继续遵循安全最佳实践,并鼓励客户通过AWS security向AWS security报告任何安全问题aws-security@amazon.com.。
