Мы размещаем несколько виртуальных машин на Amazon. Группы безопасности и другие конфигурации настроены так, чтобы разрешить доступ только с желаемых адресов и желаемым сторонам.
Машины разговаривают друг с другом. Меня беспокоит безопасность связи. Я пробовал искать в Интернете, но, возможно, мне не хватает нужных ключевых слов, так как я не мог найти соответствующую информацию.
Нужно ли нам шифровать трафик между виртуальными машинами, если он содержит конфиденциальные данные? Может ли кто-нибудь с wirehark или подобными инструментами проверить мой трафик. Как Amazon предотвращает размещение виртуальной машины и использование wirehark для наблюдения за трафиком?
Согласно их заявлению о правилах безопасности: http://aws.amazon.com/articles/1697
Анализ пакетов другими арендаторами: виртуальный экземпляр, работающий в неразборчивом режиме, не может получать или «анализировать» трафик, предназначенный для другого виртуального экземпляра. Хотя клиенты могут перевести свои интерфейсы в неразборчивый режим, гипервизор не будет доставлять им трафик, который не адресован им. Сюда входят два виртуальных экземпляра, принадлежащих одному клиенту, даже если они расположены на одном физическом хосте. Такие атаки, как отравление кэша ARP, не работают в EC2. Хотя Amazon EC2 действительно обеспечивает достаточную защиту от непреднамеренных или злонамеренных попыток одного клиента просмотреть данные другого клиента, в качестве стандартной практики клиенты должны шифровать конфиденциальный трафик.
По сути, вы не увидите трафика, не предназначенного для вашего конкретного экземпляра, и многоадресная рассылка не работает. Ваш трафик достаточно безопасен, но если вы передаете данные, требующие шифрования, лучше всего это сделать.
Если вы хотите повысить безопасность, о чем уже упоминалось, используйте VPC - так вы получите собственную частную сеть внутри Amazon Cloud. Это добавит еще один уровень безопасности, так как вы можете использовать внутренние IP-адреса, которые маршрутизируются внутри только на ваши машины, поэтому нет возможности перехватить ваш трафик (кроме AWS на их коммутаторах и маршрутизаторах).