AWS宣布從2024年中旬開始��,新發(fā)布的Amazon EC2執(zhí)行實例類型�����,其元數(shù)據(jù)服務(IMDS)都將預測采用IMDSv2�。
AWS宣布從2024年中旬開始,新發(fā)布的Amazon EC2執(zhí)行實例類型�,其元數(shù)據(jù)服務(IMDS)都將預測采用IMDSv2。AWS推廣采用IMDSv2的原因在于提升安全性�,IMDSv2較IMDSv1提供額外的安全保護措施,能夠避免有心人濫用漏洞訪問IMDS��。
用戶可從EC2執(zhí)行實例的固定IP地址訪問IMDS����,檢索有關執(zhí)行實例大量靜態(tài)和動態(tài)數(shù)據(jù),這些數(shù)據(jù)包含啟動執(zhí)行實例的AMI ID����、網絡配置和角色臨時IAM憑證等元數(shù)據(jù)���。而IMDSv1與IMDSv2的主要差異在于,IMDSv1使用請求/回應訪問方法�,由客戶端向元數(shù)據(jù)服務發(fā)出請求,并接收回應���,IMDSv2則采用會話導向(Session-oriented)的方法����,客戶端與服務器端需要先創(chuàng)建一個會話����,并使用會話創(chuàng)建過程中獲得的令牌,來請求和接收回應���。
AWS強調雖然IMDSv1與IMDSv2同樣安全�����,但是IMDSv2對可能被嘗試用于訪問IMDS的4種漏洞,提供額外的防護能力����,包括錯誤配置的開放式網站應用程序防火墻(Web Application Firewall���,WAF)、反向代理��、服務器端請求偽造�����,還有第三層防火墻和網絡地址轉譯配置錯誤�,有效減少未經授權訪問EC2元數(shù)據(jù)的風險。
AWS在2019年的時候推出了IMDSv2�����,并在2023年3月推出的Amazon Linux 2023默認使用IMDSv2�,而從現(xiàn)在開始,所有控制臺Quick Start啟動將只會使用IMDSv2�����,所有Amazon與合作伙伴Quick Start AMI也都已支持這項設置��。
官方預計要在2024年2月�����,添加新的API函數(shù),讓用戶從賬戶層級控制IMDSv1的默認使用�����,這不只有助于用戶轉用更安全的IMDSv2�����,同時當AWS于管理控制臺和其他路徑���,將IMDSv2設為默認選項時�����,新的API讓用戶能以簡單地方法�,從賬戶層級停用IMDSv1�,進而快速轉換到IMDSv2。
到了2024年中�,新發(fā)布的EC2執(zhí)行實例類型,也將會默認使用IMDSv2��,但AWS也提供了一個靈活的過渡選項����,用戶仍然可以不需要重新啟動,就可在執(zhí)行實例啟動時����,或是啟動之后選擇打開IMDSv1。
閩公網安備 35010202001226號
