AWS入門の記録（５３）

今日も粛々と、AWS認定資格テキストで学習します。

学習１ AWS認定資格試験テキストAWS認定クラウドプラクティショナー

今日は、第３章AWSのセキュリティの２周めです。
おなじみ、AWS の責任共有モデルから。AWS の責任共有モデルは、クラウド本体のセキュリティは AWS が担当し、クラウド内部のセキュリティはユーザーが担当するというものですね。ここは、もう、大丈夫。

AWS の責任範囲である物理的なセキュリティ、ハイパーバイザーのセキュリティについてもう少し掘り下げます。ハイパーバイザーを対象にした攻撃って知識がなかったので、VM エスケープ、クラウドバーストVM エスケープ、VM ホッピングって知らなかったんですよね。というわけで、調べてみました。

VM エスケープ
VM エスケープ攻撃は、VMから抜け出して、ハイパーバイザー本体を操作する攻撃。

クラウドバースト VM エスケープ
クラウドバーストというのは、通常オンプレミスで実行されるアプリケーションを、一時的にパブリッククラウドに切り替えて実行する手法で、そのクラウドバースト時の ゲスト VM から抜け出して、ハイパーバイザーを操作する攻撃。

VM ホッピング
ハイパーバイザーの脆弱性を利用して、ゲスト VM から、別のゲスト VM でコードを実行する攻撃。

いずれも、AWS は、各インスタンスは別のインスタンスのメモリにアクセスできないこと、ハイパーバイザーのメモリにアクセスできないことに対して責任を持つので、対策を講じているということですね。

今日は、ここまで。続きは、またあした（の予定）

参考：
・QEMU脆弱性を利用したVMエスケープ攻撃の検証：概要＆テスト環境構築編（＠IT）
・仮想化がはらむ新たなリスク（＠IT）