新的調查顯示,在無安全保障的公共雲上使用虛擬映像可能帶來不安全因素
從Eurecom,東北大學以及SecludIT的調查結果來看,儘管不是亞馬遜的錯,但是使用其EC2(彈性計算雲)服務卻會給用戶帶來安全上的威脅。倘若第三方在使用亞馬遜公共檢索目錄內的預設虛擬機圖像時不遵循最佳安全做法,用戶和供應商便會面臨諸如越權存取,惡意軟件感染和數據丟失等風險。
調查者說同樣的安全漏洞可能會在像Rackspace, IBM, Joyent和Terremark這樣的供應商提供的公共雲上出現。其潛臺詞是,在享受公共雲帶來的好處的同時,供應商和用戶需提高警惕,共同找出最安全的運行方式。一個房東需要對發生在他房子裏面的所有事負責,可是別指望雲基礎供應商像房東那樣,他們可不能對他們機器上的每個映像,每則運算和每筆交易負全責。
一份名爲“亞馬遜 雲服務安全性分析”的調查報告顯示,EC2的安全疏漏源於對AMIs(亞馬遜機器映像)的濫用和管理不當。AIMs是一種虛擬映像,它的預操作系統和應用程序是由第三方供應商和亞馬遜一起提供的。您可以通過EC2方便快捷地部署服務。調查者們在過去五個月內分析了從歐洲,亞洲和美國數據中心獲取的5000份基於Linux和Windows的AIMs數據。
他們發現了許多AIMs中存在的問題。首先,98%的Windows AIMs和58%的Linux AIMs都有軟件存在關鍵漏洞。報告聲稱,“此份調查是基於多重服務而不僅僅侷限於某個應用,平均每46個Windows 映像會搭配11個Linux映像。”“我們觀察到許多映像和軟件都已經使用不止兩年了”。
這些漏洞將用戶暴漏在惡意軟件和未經請求的鏈接之下。***們可以通過惡意軟件和鏈接收集AIMs用戶的信息。他們還會通過內置程序漏洞收集目標IP地址以便將來進行***。
調查者還發現了涉及證件過期的一個漏洞。當用戶使用其密碼或者部分SSH密匙登陸遠程Linux服務器後,AIM上便留有登陸痕跡。這時***們會將自己的完整的公共密匙留在AMI上,這樣他們便可以登陸任意一個正在運行的映像。另外,供應商也可能在AMI上留下SSH密匙或密碼,第三方會藉此進行惡意***。(研究者發現每56個SSH密匙中就有54個沒有設置密碼保護,這顯然並非最安全的做法。)AMIs本身也有一些可利用的信息,例如瀏覽器歷史。瀏覽器歷史會泄漏用戶的私人信息或Shell的歷史記錄。***可以通過這些信息獲取證書信息,例如DNS管理密碼。
從理論上講,映像供應商在再次將AMI公諸於衆之前只能刪除原來的敏感信息。
可不幸的是,從報告內容來看,這些基本的做法是不夠的。“在許多文件系統中,當用戶刪除過一個文件之後,其顯示並未佔用空間,但是這個文件仍然保存在物理媒介上(例如,保留在硬盤上)”
這樣一來,***們便能使用像asextundelete和Winundelete這類的工具恢復已刪除的數據。研究人員在測試中發現,98%的AMIs文件,PDF檢索,Office文件,密碼文件以及私人密匙都能被恢復,這些密匙中包括未採用密碼保護措施的亞馬遜AWS密匙。***們便能免費使用亞馬遜資源,而受害者只好爲其付費。Amazon's Web Services Security team has acted on their researchers'
據報道,亞馬遜Web安全服務團隊已經在其研究結果的基礎上採取行動。例如,亞馬遜發佈了幫助客戶安全共享公共映像的教程。報告中還指出,亞馬遜也在尋找防止已刪除私人文件被恢復的方法。研究者們在提出的解決方法中強調,適當的培訓用戶如何使用公共雲服務映像是非常重要的。報告中也提到,“儘管公共雲服務映像益處多多,但是如果使用者沒有受過良好的培訓,其使用過程中面臨着很高的風險。這些預裝和預設的設備可能會傳達錯誤的信息。例如,他們會提供給不會配置複雜服務器的用戶們一種易於操作的“快捷方式”。但是現實情況是完全不同的。想要保證能夠安全操作虛擬映像,我們必須考慮到許多安全問題。