我们正在亚马逊主办几个虚拟机。 安全组和其他configuration设置为只允许从所需的地址和所需的各方进行访问。
机器确实互相交谈。 我关心的是通信安全。 我试图在网上search,但可能是我缺less正确的关键字,因为我找不到相关的信息。
如果包含敏感数据,我们是否需要encryption虚拟机之间的stream量? 有人可以用wireshark或类似的工具,检查我的stream量。 亚马逊如何防止托pipe虚拟机的人使用wireshark观察stream量?
根据他们的安全实践声明: http : //aws.amazon.com/articles/1697
其他租户的数据包嗅探:以混杂模式运行的虚拟实例不可能接收或“嗅探”针对不同虚拟实例的数据stream。 虽然客户可以将他们的接口置于混杂模式,但pipe理程序不会将任何stream量传送给他们,而不会传送给他们。 这包括属于同一个客户的两个虚拟实例,即使它们位于同一个物理主机上。 ARPcaching中毒等攻击在EC2内不起作用。 尽pipeAmazon EC2确实为一个客户无意中或恶意尝试查看他人数据提供了充分的保护,但作为标准实践,客户应该对敏感stream量进行encryption。
基本上,你不会看到任何不适合你的具体实例的stream量,多播不起作用。 你的stream量是相当安全的,但是如果你传输的是保证encryption的数据,这是最好的做法。
如果您想要提高安全性,请使用VPC – 这样您就可以在Amazon Cloud内部获得自己的专用networking。 这将增加另一层安全性,因为您可以使用仅内部路由到您的机器的内部IP地址 – 所以没有办法嗅探您的stream量(交换机和路由器上的AWS除外)。