亚马逊EC2专用主机可提供哪些安全优势?

日期:2016-11-30作者:George Lawton翻译:滕晓龙 来源:TechTarget中国 英文

【TechTarget中国原创】

专用主机可有助于确保高水平运行性能,并消除一些与多租户模式相关的风险。但是它们是否就比标准EC2实例更安全呢?

亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。亚马逊EC2专用主机在许可证管理方面具有一定的优势;一些企业可能需要这种实例来确保其合规性要求。而与专用实例相比,亚马逊EC2专用主机则不会提供额外的安全性。

如果能够配置正确,那么所有弹性计算云(EC2)实例的安全性都是相当强大的。之前AWS实现中的弱点在于扫描网络和识别目标服务器IP地址的能力。AWS实施虚拟私有云以允许企业用户使用软件定义网络,而这个软件定义网络在AWS数据中心内与其他流量在逻辑上是相互隔离的。这种方式可提供针对来自于不同网络攻击的安全措施。

攻击者如何破坏多租户模式

安全行业探讨了使用意图窥探邻居租户恶意虚拟机来破坏在公有云服务上运行的虚拟机的可能性。这是一项相对较新颖的技术,而且相邻虚拟机仅限于监听内存和网卡之间的流量速率,以及CPU使用率的微妙性能变化。在理论上来说,恶意虚拟机可能会使用这一信息来危害加密密钥,从而将其应用于针对企业IT基础设施的后续攻击。

安全研究人员发现可以事先计算恶意虚拟机的启动时间,以便将它们配置到相同的物理硬件上作为目标应用程序。在一项由美国国家科学基金会资助的研究中,研究人员在相同的物理服务器上配置了监听应用程序,九成的速率只有14%。

这项测试要求研究人员可以触发目标企业应用启动更多的实例,然后计算启动多达3000个监听应用实例的时间。当应用于深夜里在AWS区域(例如US-West-1)以较少应用程动时,该过程甚至更有效。他们还可以启动监听CPU和内存运行性能差异的代码,以确定监听应用是否与目标应用共处。

但是,检测出这种类型安全漏洞是有着较高水平复杂性要求的,即需要将内存和CPU状态中的微妙变化转变成为有用的信息。攻击者可能需要有关目标应用程序及其配置的详细信息。这种类型的攻击还未在实际应用中得到证实。此外,阻止这种方式的攻击是很容易的:用户可以在企业应用程序所使用的处理算法中添加少量噪声即可。

需要考虑的重要因素

对于选择配置亚马逊EC2专用实例的企业来说,还是存在着一些小小的安全优势的,但亚马逊EC2专用主机却不是这样。当管理员使用专用实例和专用主机将企业工作负载与其噪声邻居租户隔离时,也可能会提高性能。但是,这两个实例都没有提供超越彼此的额外性能优势。

总体而言,亚马逊EC2专用主机允许企业实现成本节省,因为他们能够重复利用与应用程序供应商谈判争取得到的许可证。在这种情况下,企业会让他们的会计团队来审查这些有待权衡的各种因素。这也要求企业审查与AWS BYOL(使用你自己的许可证)配置相关的一些具体规定。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

George Lawton
George Lawton

TechTarget中国特约作者

云的数据隐私>更多

相关推荐

技术手册>更多

  • 云计算与数据保护:云计算加密教程

    云计算和数据保护是非常棘手的一项工作。当企业把服务迁移至云计算时,由于失去了对其敏感数据的控制而只能依赖于云计算服务供应商来确保数据的安全性,他们往往会为此担惊受怕。本云计算数据保护教程选自SearchCloudSecurity.com以及专家技术文章。它对如何在云计算中保护数据提出了建议,并可作为云计算加密技术的使用指南。在教程中,我们讨论了云计算加密的意义、介绍了实施云计算加密的挑战以及若干使用案例。

  • 调查报告:云计算应用趋势以及成本分析

    企业选择采用公有云服务或者构建私有云的原因多种多样,但都是为了和企业的目标保持一致。TechTarget调查结果显示了这些动机,本报告揭示了潜在的云应用趋势和成本分析。

  • 企业私有云选型完全手册

    虽然云计算发展的春天已经来临,但是众多企业仍然希望保持对IT环境和物理资源的控制。通常情况下,法律或法规会阻止企业实施从数据中心到公共云计算的转变。这就成全了私有云计算,它允许企业在本地管理硬件,同时又允许最终用户远程访问基础设施的下一个逻辑步骤。尽管每个IT环境都是独一无二的,但是对你的私有云计算项目实现从规划到投产有很多可供借鉴的最佳实践案例,其中包括选择正确的管理程序、软硬件以及合适的广域网和宽带技术。在这本技术手册中,我们将会关注企业私有云选型以及如何落地。

  • 解密后端即服务(BaaS)

    后端即服务(BaaS)作为通向后端的一个不同方法已经兴起—它包含服务器、应用程序和支持应用程序面向用户的前端数据库—通过引入云服务架构通向后端流程。虽然是新的,但它已经有了许多的厂商,随着BaaS商场的不断增长,越来越多的开发团队开始注意到移动应用领域的这个新生儿。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心