セキュアなクラウドコンピューティングはどういうことかについて、継続的に議論がおこなわれている。クラウドは、多くのプライベートネットワークよりもセ キュアであると言い張るものもいれば、クラウドコンピューティングにはセキュリティ上の落とし穴が潜んでいると警戒するものもいる。AmazonのWebベースのAWS Management Console(リンク)が、ますます多くの機会をハッカーに与えているという考えがある。
GNUCITIZENは、クラウドコンピューティングはセキュア(リンク)だと考察した。
わたしにとって、この(Amazonのセキュリティ)はかなり非常識なセキュリティであり、自宅で作成したソリューションは、数百倍もセキュアでないと言える。
では、クラウドはセキュアであるのか?自分が何をしているのかを分かっていれば、それはイエスである。
Alistair Croll氏は、クラウドが安全(リンク)な理由を以下のように示した。
人が少ない– たいていのコンピュータ違反は、人為的ミスの結果である(リンク)。20から40パーセントだけが、技術的な機能不良が原因である。利益を得たいと考えているクラウドのオペレーターは、可能ならいつでも仲間から人を奪う。
優秀なツール – クラウドは、高性能なデータ保護およびセキュリティモニタリングツール、そしてそれらを実行するエキスパートを提供することができる。Amazonの操作スキルは、わたしをはるかに超えていると考える。
強制的なプロセス – おそらく、自分の勤務する会社のITインフラを変更する同僚がいるかもしれない。しかし、適切な許可なくクラウドプロバイダーで、それを実行しようとすると、本当にできない。
自分の従業員ではない — 大抵のセキュリティ上の違反は、内部の人間による(リンク)。クラウドオペレーターは、あなたのためにやってくれない。企業スパイということになると、従業員がターゲットになりやすい。
Alistair氏は、懸念も表した。
あらゆる新しいテクノロジーを駆使して、考えもつかないようなセキュリティー上の弱点を突く手段が出てくることは、必至である。しかし、それらはクラウド 自体というよりは、クラウドデータの転送や修正に使用される管理ツール、またクラウドのアプリケーションを利用するために使用されるリモートツールの一部 である傾向が強い。
データをクラウドに移行する際に、注意しなければならない本当の理由がある。しかし、正しいことを気にかけているようにする。さもないと、データのコピーを枕の下に置いて眠るパニック状態のサーバー懐疑者のように見られる恐れがある。
Amazon S3を検討しながら(リンク)、x86Virtualizationは以下のように述べた。
S3システム全体の最大の弱点は、 おそらくAmazonの独自のパスワードスキームである。それは非常に脆弱なパスワードを許可するけれども、エンジニアリングでは、おそらく企業のEメー ルポリシーの変更により、古いアドレスが変わったと言って、新しいアドレスに再設定させるかもしれない。どんな企業を例にとっても、企業名.comのドメ インメールを購入し、おそらく電話によるサポート係に、自分はこの会社で働いていることを信じさせるかもしれない。偽のレターへッドを作成する必要がある 場合、その町のファックス番号または電話交換を取得する。そうするとあなたは近い将来、その企業の支店長になっている可能性がある。かなり頻繁に起こるに 違いないので、Amazonには最終注文以来、Eメールが変更された人(リンク)のページさえある。
それでは、自分のクラウドはどの程度安全なのか?ドメイン名で使用される同様の技術を使用し、転送すると(リンク)、Amazonのパスワードを回復することがで き、ログインし、完全なS3コレクション、StartおよびStopクラウドをダウンロードし、他のAmazon Webサービスを管理することができる。
Krishnan Subramanian氏は、新たに導入されたAWS Management Consoleが新しいレベルの不安をもたらす(リンク)と見ている。
コンソールのリリース前、ユーザのAmazonパスワードを盗んだものが、AWSアカウントにログインし、共用/私用キーおよび証明を取得することができ た。それから、この情報を使用し、EC2デプロイメントに大混乱を生じさせた。このコンソールでは、
ハッカー、クラッカーは管理のステップが少な くなった。盗んで、混乱を招いたAmazon.comのアカウントパスワードでEC2 Webベースの管理コンソールにログインするだけである。共用/私用キーや証明を取得しようと気をもむことさえしなくてよい。セキュリティの観点から見る と、これは明らかに危険である。
またKrishnan氏は、AWSセキュリティを改善するため、いくつか提案をした。
- Amazon.comアカウントをAWSアカウントと分離する。事実、AWSも使用するAmazon.comユーザの割合は、ごくわずかであるので、区分してもなんら悪影響はない。
- 解読するのが本当に難しいパスワードをユーザに選択させる。すべてのAWSアカウントで、難しいパスワードを強制するポリシーを展開することが重要である。
あらゆるセキュリティのリスクを考えると、AWS Console(リンク)が最も使用されるだろう。なぜならマウスを数回クリックするだけで、ユーザはEC2インターフェイスを開始したり、管理したり、AMI (Amazon Machine Images)を検索したり、作成したり、EBS (Elastic Block Storage)ボリュームやElastic IPを管理したりすることができるからである。
原文はこちらです:http://www.infoq.com/news/2009/01/AWS-Management-Console-Security