"Les services cloud tels que Elastic Compute Cloud d'Amazon et SmartCloud d'IBM changent rapidement la façon dont les entreprises gèrent les infrastructures informatiques et fournissent des services en ligne. Aujourd'hui, si une entreprise a besoin de puissance de calcul, elle peut simplement l'acheter en ligne en instanciant une image de serveur virtuel. Les serveurs peuvent être rapidement lancés et fermés via des interfaces de programmation d'applications, offrant à l'utilisateur une plus grande flexibilité que les salles de serveurs traditionnelles. Une approche populaire dans les services basés sur le cloud consiste à permettre aux utilisateurs de créer et de partager des images virtuelles avec d'autres utilisateurs. Outre ces images partagées par les utilisateurs, les fournisseurs de cloud fournissent souvent des images virtuelles préconfigurées avec des logiciels courants tels que des bases de données open source et des serveurs Web.
Ce document explore les risques généraux liés à l’utilisation d’images de serveur virtuel dans les catalogues publics des fournisseurs de services cloud. En particulier, nous étudions en détail les problèmes de sécurité des images publiques disponibles sur le service Amazon EC2. Nous décrivons la conception et la mise en œuvre d'un système automatisé que nous avons utilisé pour instancier et analyser la sécurité des AMI publiques sur la plate-forme Amazon EC2, et fournissons une description détaillée des tests de sécurité que nous avons effectués sur chaque image. Nos résultats démontrent que les utilisateurs et les fournisseurs d'IMA publiques peuvent être vulnérables aux risques de sécurité tels que les accès non autorisés, les infections par programmes malveillants et la perte d'informations sensibles. L'équipe de sécurité d'Amazon Web Services a pris note de nos conclusions et a déjà pris des mesures pour traiter correctement tous les risques de sécurité présentés dans ce document."
Version originale :
"Cloud services such as Amazon’s Elastic Compute Cloud and IBM’s SmartCloud are quickly changing the way organizations are dealing with IT infrastructures and are providing online services. Today, if an organization needs computing power, it can simply buy it online by instantiating a virtual server image on the cloud. Servers can be quickly launched and shut down via application programming interfaces, offering the user a greater flexibility compared to traditional server rooms. A popular approach in cloud-based services is to allow users to create and share virtual images with other users. In addition to these user-shared images, the cloud providers also often provide virtual images that have been pre-configured with popular software such as open source databases and web servers.
This paper explores the general security risks associated with using virtual server images from the public catalogs of cloud service providers. In particular, we investigate in detail the security problems of public images that are available on the Amazon EC2 service. We describe the design and implementation of an automated system that we used to instantiate and analyze the security of public AMIs on the Amazon EC2 platform, and provide detailed descriptions of the security tests that we performed on each image. Our findings demonstrate that both the users and the providers of public AMIs may be vulnerable to security risks such as unauthorized access, malware infections, and loss of sensitive information. The Amazon Web Services Security Team has acknowledged our findings, and has already taken steps to properly address all the security risks we present in this paper."
