fbpx

Segurança no Hypervisor da AWS

awshypervisor
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

Atualmente, o Amazon EC2 usa uma versão altamente personalizada do Xen hypervisor, aproveitando a paravirtualização (no caso de guest Linux). Como os guest paravirtualizados contam com o hipervisor para fornecer suporte para operações que normalmente exigem acesso privilegiado, o SO guest não tem acesso elevado à CPU.

A CPU fornece quatro modos de privilégio separados: 0–3, chamados anéis. O anel 0 é o mais privilegiado e 3 o menos. O sistema operacional host executa no Ring 0. No entanto, em vez de executar no Ring 0 como a maioria dos sistemas operacionais, o SO guest é executado no Ring 1 com menos privilégios e os aplicativos com menos privilégios no Ring 3.

Essa virtualização explícita dos recursos físicos leva a uma separação clara entre guest e hipervisor, resultando em separação de segurança adicional entre os dois.

Isolamento de Instância

Diferentes instâncias em execução na mesma máquina física são isoladas uma da outra por meio do hipervisor Xen. A Amazon está ativa na comunidade Xen, que fornece à AWS o conhecimento dos últimos desenvolvimentos. Além disso, o firewall da AWS reside na camada do hipervisor, entre a interface de rede física e a interface virtual da instância.

Todos os pacotes devem passar por essa camada; portanto, os vizinhos de uma instância não têm mais acesso a ela do que qualquer outro host na Internet e podem ser tratados como se estivessem em hosts físicos separados.

A RAM física é separada usando mecanismos semelhantes. As instâncias do cliente não têm acesso aos dispositivos de disco bruto, mas são apresentadas com discos virtualizados. A camada de virtualização de disco proprietária da AWS redefine automaticamente todos os blocos de armazenamento usados ​​pelo cliente, para que os dados de um cliente nunca sejam expostos involuntariamente a outro cliente. Além disso, a memória alocada para os guest é limpa (definida como zero) pelo hipervisor quando não é alocada para um guest.

A memória não é retornada ao conjunto de memória livre disponível para novas alocações até que a limpeza da memória seja concluída.

Sistema Operacional Host

Os administradores com uma empresa que precisam acessar o plano de gerenciamento precisam usar o MFA para obter acesso aos hosts de administração criados com finalidade específica. Esses hosts administrativos são sistemas projetados, construídos, configurados e protegidos especificamente para proteger o plano de gerenciamento da nuvem.

Todo esse acesso é registrado e auditado. Quando um funcionário não tem mais uma necessidade comercial de acessar o plano de gerenciamento, os privilégios e o acesso a esses hosts e sistemas relevantes podem ser revogados.

Operador guest

As instâncias virtuais do sistema são completamente controladas por você, o cliente. Você tem acesso root completo ou controle administrativo sobre contas, serviços e aplicativos.

A AWS não possui direitos de acesso às suas instâncias ou ao SO guest. A AWS recomenda um conjunto básico de práticas recomendadas de segurança para incluir a desativação do acesso somente por senha aos seus guest e o uso de alguma forma de MFA para obter acesso às suas instâncias (ou no mínimo, no acesso SSH Versão 2 com base em certificado).

Além disso, você deve empregar um mecanismo de escalonamento de privilégios com o registro por usuário. Por exemplo, se o sistema operacional guest for Linux, após a proteção, sua instância deverá usar o SSHv2 baseado em certificado para acessar a instância virtual, desabilitar o logon raiz remoto, usar o log da linha de comando e usar o sudo para escalar privilégios.

Você deve gerar seus próprios pares de chaves para garantir que eles sejam exclusivos e não sejam compartilhados com outros clientes ou com a AWS. A AWS também oferece suporte ao uso do protocolo de rede SSH para permitir o login seguro nas instâncias do Amazon EC2 do UNIX / Linux.

A autenticação do SSH usado com a AWS é feita através de um par de chaves pública / privada para reduzir o risco de acesso não autorizado à sua instância. Você também pode conectar-se remotamente às instâncias do Windows usando o RDP (Remote Desktop Protocol) usando um certificado RDP gerado para sua instância. Você também controla a atualização e o patch do sistema operacional guest, incluindo atualizações de segurança.

As AMIs baseadas em Windows e Linux fornecidas pela Amazon são atualizadas regularmente com os patches mais recentes. Portanto, se você não precisar preservar dados ou personalizações nas instâncias em execução da Amazon AMI, basta reiniciar novas instâncias com a AMI atualizada mais recente. Além disso, são fornecidas atualizações para o Amazon Linux AMI por meio dos repositórios yum do Amazon Linux.

Firewall

O Amazon EC2 fornece um firewall de entrada obrigatório configurado no modo de negar tudo padrão; Os clientes do Amazon EC2 devem abrir explicitamente as portas necessárias para permitir o tráfego de entrada. O tráfego pode ser restrito pelo protocolo, pela porta de serviço e pelo endereço IP de origem (IP individual ou bloco CIDR).

O firewall pode ser configurado em grupos, permitindo que diferentes classes de instâncias tenham regras diferentes. Considere, por exemplo, o caso de um aplicativo da web tradicional de três camadas.

O grupo para os servidores da Web teria a porta 80 (HTTP) e / ou a porta 443 (HTTPS) aberta para a Internet. O grupo para os servidores de aplicativos teria a porta 8000 (específica do aplicativo) acessível apenas ao grupo de servidores da web.

O grupo para os servidores de banco de dados teria a porta 3306 (MySQL) aberta apenas para o grupo de servidores de aplicativos. Todos os três grupos permitiriam acesso administrativo na porta 22 (SSH), mas apenas da rede corporativa do cliente.

O nível de segurança oferecido pelo firewall é uma função de quais portas você abre e por qual duração e finalidade. Gerenciamento de tráfego bem informado e design de segurança ainda são necessários por instância. A AWS ainda recomenda que você aplique filtros de instância adicionais a firewalls baseados em host, como tabelas de IP ou Firewall do Windows e VPNs.

O estado padrão é negar todo o tráfego recebido, e você deve planejar cuidadosamente o que abrirá ao criar e proteger seus aplicativos.

Acesso à API

As chamadas de API para iniciar e encerrar instâncias, alterar parâmetros de firewall e executar outras funções são todas assinadas pela sua Amazon Secret Access Key, que pode ser a Chave de acesso secreto da conta da AWS ou a Chave de acesso secreto de um usuário criado com o AWS IAM.

Sem acesso à sua chave de acesso secreto, as chamadas da API do Amazon EC2 não podem ser feitas em seu nome. As chamadas de API também podem ser criptografadas com SSL para manter a confidencialidade. A AWS recomenda sempre o uso de terminais de API protegidos por SSL.

Comentários do Facebook

Conteúdos relacionados