AWS宣布從2024年中旬開始����,新發(fā)布的Amazon EC2執(zhí)行實例類型����,其元數(shù)據(jù)服務(wù)(IMDS)都將預(yù)測采用IMDSv2����。
AWS宣布從2024年中旬開始,新發(fā)布的Amazon EC2執(zhí)行實例類型����,其元數(shù)據(jù)服務(wù)(IMDS)都將預(yù)測采用IMDSv2。AWS推廣采用IMDSv2的原因在于提升安全性��,IMDSv2較IMDSv1提供額外的安全保護(hù)措施����,能夠避免有心人濫用漏洞訪問IMDS。
用戶可從EC2執(zhí)行實例的固定IP地址訪問IMDS��,檢索有關(guān)執(zhí)行實例大量靜態(tài)和動態(tài)數(shù)據(jù)����,這些數(shù)據(jù)包含啟動執(zhí)行實例的AMI ID��、網(wǎng)絡(luò)配置和角色臨時IAM憑證等元數(shù)據(jù)��。而IMDSv1與IMDSv2的主要差異在于��,IMDSv1使用請求/回應(yīng)訪問方法�,由客戶端向元數(shù)據(jù)服務(wù)發(fā)出請求���,并接收回應(yīng),IMDSv2則采用會話導(dǎo)向(Session-oriented)的方法����,客戶端與服務(wù)器端需要先創(chuàng)建一個會話,并使用會話創(chuàng)建過程中獲得的令牌�����,來請求和接收回應(yīng)��。
AWS強(qiáng)調(diào)雖然IMDSv1與IMDSv2同樣安全�,但是IMDSv2對可能被嘗試用于訪問IMDS的4種漏洞,提供額外的防護(hù)能力����,包括錯誤配置的開放式網(wǎng)站應(yīng)用程序防火墻(Web Application Firewall�����,WAF)����、反向代理����、服務(wù)器端請求偽造,還有第三層防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)譯配置錯誤�����,有效減少未經(jīng)授權(quán)訪問EC2元數(shù)據(jù)的風(fēng)險�。
AWS在2019年的時候推出了IMDSv2,并在2023年3月推出的Amazon Linux 2023默認(rèn)使用IMDSv2�����,而從現(xiàn)在開始����,所有控制臺Quick Start啟動將只會使用IMDSv2�,所有Amazon與合作伙伴Quick Start AMI也都已支持這項設(shè)置����。
官方預(yù)計要在2024年2月,添加新的API函數(shù)��,讓用戶從賬戶層級控制IMDSv1的默認(rèn)使用�����,這不只有助于用戶轉(zhuǎn)用更安全的IMDSv2����,同時當(dāng)AWS于管理控制臺和其他路徑���,將IMDSv2設(shè)為默認(rèn)選項時���,新的API讓用戶能以簡單地方法,從賬戶層級停用IMDSv1�,進(jìn)而快速轉(zhuǎn)換到IMDSv2。
到了2024年中����,新發(fā)布的EC2執(zhí)行實例類型��,也將會默認(rèn)使用IMDSv2��,但AWS也提供了一個靈活的過渡選項�,用戶仍然可以不需要重新啟動�����,就可在執(zhí)行實例啟動時�,或是啟動之后選擇打開IMDSv1。
閩公網(wǎng)安備 35010202001226號
