我们在亚马逊上托管了一些虚拟机。安全组和其他配置设置为仅允许从所需地址和所需方进行访问。
机器之间确实可以互相交流。我担心的是通信安全。我尝试在网上搜索,但可能是我遗漏了正确的关键词,因为我找不到相关信息。
如果虚拟机之间的流量包含敏感数据,我们是否需要对其进行加密?有人可以使用 wireshark 或类似工具检查我的流量吗?亚马逊如何阻止托管虚拟机的人使用 wireshark 观察流量?
答案1
根据他们的安全实践声明: http://aws.amazon.com/articles/1697
其他租户的数据包嗅探:在混杂模式下运行的虚拟实例不可能接收或“嗅探”发往其他虚拟实例的流量。虽然客户可以将其接口置于混杂模式,但虚拟机管理程序不会向他们传送任何不是发往他们的流量。这包括由同一客户拥有的两个虚拟实例,即使它们位于同一物理主机上。ARP 缓存中毒等攻击在 EC2 中不起作用。虽然 Amazon EC2 确实提供了足够的保护来防止一个客户无意或恶意地试图查看另一个客户的数据,但作为标准做法,客户应该加密敏感流量。
基本上,您不会看到任何不属于您特定实例的流量,而且多播不起作用。您的流量相当安全,但如果您正在传输需要加密的数据,那么最好这样做。
答案2
如果您想要获得上述提到的更多安全性,请使用 VPC - 这样您将在 Amazon Cloud 内拥有自己的私有网络。这将增加另一层安全性,因为您可以使用内部 IP 地址,这些地址仅在内部路由到您的机器 - 因此无法嗅探您的流量(AWS 交换机和路由器除外)。