Ce livre blanc explore les risques de sécurité généraux associés à l'utilisation d'images de serveur virtuel à partir des catalogues publics des fournisseurs de services de cloud computing.
"Les services cloud tels que Elastic Compute Cloud d'Amazon et SmartCloud d'IBM modifient rapidement la façon dont les entreprises traitent les infrastructures informatiques et fournissent des services en ligne.
Aujourd'hui, si une organisation a besoin de puissance informatique, elle peut simplement l'acheter en ligne en instanciant une image de serveur virtuel sur le cloud. Les serveurs peuvent être rapidement lancés et arrêtés via des interfaces de programmation d'application, offrant à l'utilisateur une plus grande flexibilité par rapport aux salles de serveurs traditionnelles.
Une approche répandue dans les services basés sur le cloud consiste à permettre aux utilisateurs de créer et de partager des images virtuelles avec d'autres utilisateurs. En plus de ces images partagées par l'utilisateur, les fournisseurs de cloud fournissent également souvent des images virtuelles qui ont été préconfigurées avec des logiciels populaires tels que des bases de données open source et des serveurs Web.
Cet article explore les risques de sécurité généraux associés à l'utilisation d'images de serveur virtuel à partir des catalogues publics des fournisseurs de services de cloud computing. En particulier, nous étudions en détail les problèmes de sécurité des images publiques disponibles sur le service Amazon EC2.
Nous décrivons la conception et la mise en œuvre d'un système automatisé que nous avons utilisé pour instancier et analyser la sécurité des AMI publiques sur la plateforme Amazon EC2, et fournir des descriptions détaillées des tests de sécurité que nous avons effectués sur chaque image.
Nos résultats démontrent que les utilisateurs et les fournisseurs d'AMI publics peuvent être vulnérables aux risques de sécurité tels que l'accès non autorisé, les infections de logiciels malveillants et la perte d'informations sensibles. L'équipe de sécurité d'Amazon Web Services a pris acte de nos constatations et a déjà pris des mesures pour traiter correctement tous les risques de sécurité que nous présentons dans ce document.
Le cloud computing a changé la vision de l'informatique en tant qu'actif prépayé pour un service payant. Plusieurs sociétés telles que Amazon Elastic Compute Cloud [7] (EC2), Rackspace [9], IBM SmartCloud [12], Joyent Smart Data Center [14] ou Terremark vCloud [10] offrent l'accès aux serveurs virtualisés dans leurs centres de données sur une base horaire.
Les serveurs peuvent être rapidement lancés et arrêtés via des interfaces de programmation d'application, offrant à l'utilisateur une plus grande flexibilité par rapport aux salles de serveurs traditionnelles. Ce changement de paradigme modifie les infrastructures informatiques existantes des organisations, permettant aux petites entreprises qui ne peuvent pas se permettre une grande infrastructure de créer et de maintenir facilement des services en ligne.
Une approche répandue dans les services basés sur le cloud consiste à permettre aux utilisateurs de créer et de partager des images virtuelles avec d'autres utilisateurs. Par exemple, un utilisateur qui a créé une image Linux Debian Sarge héritée peut décider de rendre cette image publique afin que les autres utilisateurs puissent facilement la réutiliser.
En plus des images partagées par l'utilisateur, le fournisseur de services cloud peut également fournir des images publiques personnalisées basées sur les besoins communs de leurs clients (par exemple, une image de serveur Web Ubuntu pré-configurée avec MySQL, PHP et Apache). Cela permet aux clients d'instancier et de démarrer de nouveaux serveurs sans avoir à installer eux-mêmes de nouveaux logiciels."
Texte d'origine :
"Cloud services such as Amazon’s Elastic Compute Cloud and IBM’s SmartCloud are quickly changing the way organizations are dealing with IT infrastructures and are providing online services.
Today, if an organization needs computing power, it can simply buy it online by instantiating a virtual server image on the cloud. Servers can be quickly launched and shut down via application programming interfaces, offering the user a greater flexibility compared to traditional server rooms.
A popular approach in cloud-based services is to allow users to create and share virtual images with other users. In addition to these user-shared images, the cloud providers also often provide virtual images that have been pre-configured with popular software such as open source databases and web servers.
This paper explores the general security risks associated with using virtual server images from the public catalogs of cloud service providers. In particular, we investigate in detail the security problems of public images that are available on the Amazon EC2 service.
We describe the design and implementation of an automated system that we used to instantiate and analyze the security of public AMIs on the Amazon EC2 platform, and provide detailed descriptions of the security tests that we performed on each image.
Our findings demonstrate that both the users and the providers of public AMIs may be vulnerable to security risks such as unauthorized access, malware infections, and loss of sensitive information. The Amazon Web Services Security Team has acknowledged our findings, and has already taken steps to properly address all the security risks we present in this paper.
Cloud computing has changed the view on IT as a pre-paid asset to a pay-as-you-go service. Several companies such as Amazon Elastic Compute Cloud[7] (EC2), Rackspace[9], IBM SmartCloud[12], Joyent Smart Data Center [14] or Terremark vCloud[10] are offering access to virtualized servers in their data centers on an hourly basis.
Servers can be quickly launched and shut down via application programming interfaces, offering the user a greater flexibility compared to traditional server rooms. This paradigm shift is changing the existing IT infrastructures of organizations, allowing smaller companies that cannot afford a large infrastructure to create and maintain online services with ease.
A popular approach in cloud-based services is to allow users to create and share virtual images with other users. For example, a user who has created a legacy Linux Debian Sarge image may decide to make this image public so that other users can easily reuse it.
In addition to usershared images, the cloud service provider may also provide customized public images based on common needs of their customers (e.g., an Ubuntu web server image that has been pre-configured with MySQL, PHP and an Apache). This allows the customers to simply instantiate and start new servers, without the hassle of installing new software themselves."