AWS宣布從2024年中旬開始,新發布的Amazon EC2執行個體類型,其後設資料服務(IMDS)都將預測採用IMDSv2。AWS推廣採用IMDSv2的原因在於提升安全性,IMDSv2較IMDSv1提供額外的安全保護措施,能夠避免有心人士濫用漏洞存取IMDS。
用戶可從EC2執行個體的固定IP位址存取IMDS,檢索有關執行個體大量靜態和動態資料,這些資料包含啟動執行個體的AMI ID、網路配置和角色臨時IAM憑證等後設資料。而IMDSv1與IMDSv2的主要差異在於,IMDSv1使用請求/回應存取方法,由客戶端向後設資料服務發出請求,並接收回應,IMDSv2則採用會話導向(Session-oriented)的方法,客戶端與伺服器端需要先建立一個會話,並使用會話建立過程中獲得的令牌,來請求和接收回應。
AWS強調雖然IMDSv1與IMDSv2同樣安全,但是IMDSv2對可能被嘗試用於存取IMDS的4種漏洞,提供額外的防護能力,包括錯誤配置的開放式網站應用程式防火牆(Web Application Firewall,WAF)、反向代理、伺服器端請求偽造,還有第三層防火牆和網路位址轉譯配置錯誤,有效減少未經授權存取EC2後設資料的風險。
AWS在2019年的時候推出了IMDSv2,並在2023年3月推出的Amazon Linux 2023預設使用IMDSv2,而從現在開始,所有控制臺Quick Start啟動將只會使用IMDSv2,所有Amazon與合作夥伴Quick Start AMI也都已支援這項設定。
官方預計要在2024年2月,添加新的API函式,讓用戶從帳戶層級控制IMDSv1的預設使用,這不只有助於用戶轉用更安全的IMDSv2,同時當AWS於管理控制臺和其他路徑,將IMDSv2設為預設選項時,新的API讓用戶能以簡單地方法,從帳戶層級停用IMDSv1,進而快速轉換到IMDSv2。
到了2024年中,新發布的EC2執行個體類型,也將會預設使用IMDSv2,但AWS也提供了一個靈活的過渡選項,用戶仍然可以不需要重新啟動,就可在執行個體啟動時,或是啟動之後選擇開啟IMDSv1。
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15