亚马逊EC2专用主机可提供哪些安全优势?

日期:2016-11-30作者:George Lawton翻译:滕晓龙 来源:TechTarget中国 英文

【TechTarget中国原创】

专用主机可有助于确保高水平运行性能,并消除一些与多租户模式相关的风险。但是它们是否就比标准EC2实例更安全呢?

亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。亚马逊EC2专用主机在许可证管理方面具有一定的优势;一些企业可能需要这种实例来确保其合规性要求。而与专用实例相比,亚马逊EC2专用主机则不会提供额外的安全性。

如果能够配置正确,那么所有弹性计算云(EC2)实例的安全性都是相当强大的。之前AWS实现中的弱点在于扫描网络和识别目标服务器IP地址的能力。AWS实施虚拟私有云以允许企业用户使用软件定义网络,而这个软件定义网络在AWS数据中心内与其他流量在逻辑上是相互隔离的。这种方式可提供针对来自于不同网络攻击的安全措施。

攻击者如何破坏多租户模式

安全行业探讨了使用意图窥探邻居租户恶意虚拟机来破坏在公有云服务上运行的虚拟机的可能性。这是一项相对较新颖的技术,而且相邻虚拟机仅限于监听内存和网卡之间的流量速率,以及CPU使用率的微妙性能变化。在理论上来说,恶意虚拟机可能会使用这一信息来危害加密密钥,从而将其应用于针对企业IT基础设施的后续攻击。

安全研究人员发现可以事先计算恶意虚拟机的启动时间,以便将它们配置到相同的物理硬件上作为目标应用程序。在一项由美国国家科学基金会资助的研究中,研究人员在相同的物理服务器上配置了监听应用程序,九成的速率只有14%。

这项测试要求研究人员可以触发目标企业应用启动更多的实例,然后计算启动多达3000个监听应用实例的时间。当应用于深夜里在AWS区域(例如US-West-1)以较少应用程动时,该过程甚至更有效。他们还可以启动监听CPU和内存运行性能差异的代码,以确定监听应用是否与目标应用共处。

但是,检测出这种类型安全漏洞是有着较高水平复杂性要求的,即需要将内存和CPU状态中的微妙变化转变成为有用的信息。攻击者可能需要有关目标应用程序及其配置的详细信息。这种类型的攻击还未在实际应用中得到证实。此外,阻止这种方式的攻击是很容易的:用户可以在企业应用程序所使用的处理算法中添加少量噪声即可。

需要考虑的重要因素

对于选择配置亚马逊EC2专用实例的企业来说,还是存在着一些小小的安全优势的,但亚马逊EC2专用主机却不是这样。当管理员使用专用实例和专用主机将企业工作负载与其噪声邻居租户隔离时,也可能会提高性能。但是,这两个实例都没有提供超越彼此的额外性能优势。

总体而言,亚马逊EC2专用主机允许企业实现成本节省,因为他们能够重复利用与应用程序供应商谈判争取得到的许可证。在这种情况下,企业会让他们的会计团队来审查这些有待权衡的各种因素。这也要求企业审查与AWS BYOL(使用你自己的许可证)配置相关的一些具体规定。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

George Lawton
George Lawton

TechTarget中国特约作者

云的数据隐私>更多

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

  • 云安全仍是阻碍:天御系统能否推倒这一座“大山”

    据统计, 云计算的投入正在以每年20%的增长率增长着。然而,云安全性仍然是阻碍云技术采用的主要障碍,来自LinkedIn信息安全社区报告显示,且相比2015年的45%,2016年安全是云采用的头号障碍的企业已经上升至59%。

相关推荐

技术手册>更多

  • 电子书:十步构建私有云

    构建私有云并不是一项快速工程。始于理解企业环境对于云的期望和定义,继而在已经创建的模型上进行构架。要确保涵盖整个组织、其所有的流程以及构建云计算的技术。下面是构思、搭建和维护私有云的十大步骤。

  • 混合云迁移与管理指导

    很多供应商都称可以提供私有云或公共云产品。但却少有供应商表示能够提供混合云计算。尽管现在很多人呼吁使用混合云,但是一些IT管理者关心的还是把所有的生产应用移交给第三方是否会损失本地基础架构的实质投入。在这样的案例中,混合环境可以利用公有云和私有云的好处。

  • 调查报告:案例研究揭示云应用流程冲击和效益

    从别人的错误和成功中吸取经验教训是任何新技术向前发展的最佳途径。这份特别报道是TechTarget最近的调查的具体内容展现。

  • 云计算标准及性能评估指南

    从应用运行的角度来讲,云计算的性能就是网络性能、应用性能以及云计算基础架构性能的总和。云供应商只能对最后一个因素负责,而不能对前两者负责。因此,用户在衡量供应商云服务质量时必须遵循一个合适的标准。本文介绍制定云计算服务标准必要性,为了满足这一标准而需要满足的配置,以及云计算服务等级(SLA)的制定和遵从问题。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心