20 Years on AWS and Never Not My Job
4 hours ago
- #Cloud Security
- #FreeBSD
- #AWS
- 作者于2006年创建了自己的首个AWS账户,最初对Amazon S3感兴趣,但该账户已启用了SQS和电子商务服务。
- 早期关注点集中在安全性上,例如AWS缺乏响应签名,并倡导端到端签名机制。
- 他们推动在EC2上支持FreeBSD,这需要自定义内核功能,后来为在t1.micro实例上实现FreeBSD可用性做出了贡献。
- 安全反馈包括审计Xen漏洞和改进EC2实例安全功能,例如只读根磁盘。
- 提出了'最终可知一致性'概念,作为对S3中'最终一致性'的改进。
- 报告了AWS服务中的安全问题,如SimpleDB中的签名冲突和不安全的NextToken值。
- 就访问密钥安全性与AWS进行沟通,倡导受限密钥,这对IAM和SigV4产生了影响。
- 发现并报告了基础设施问题,如路由器硬件故障和影响路径MTU发现的防火墙问题。
- 强调了通过IMDS使用IAM角色给EC2带来的风险,促使在Capital One数据泄露后推出了IMDSv2。
- 参与了AWS Heroes项目,并在成为FreeBSD发布工程负责人后获得了FreeBSD/EC2工作的赞助。
- 持续提供安全反馈,包括对Seekable OCI的反馈,确保修复措施得到实施。