Kā atspējot AWS EC2 metadatus?

Šajā rakstā jūs uzzināsit par EC2 metadatiem un to, kāpēc tie ir svarīgi. Jūs arī uzzināsit, kā atspējot metadatus, lai pasargātu sevi no uzbrukumiem, piemēram, SSRF.

Amazon Web Services (AWS) piedāvā Amazon Elastic Compute Cloud (Amazon EC2) pakalpojumu, kas nodrošina mērogojamu apstrādes iespēju. Izmantojot Amazon EC2, varat ātrāk izstrādāt un izvietot lietotnes, neveicot iepriekšējus ieguldījumus aparatūrā.

Atkarībā no jūsu vajadzībām palaidiet tik daudz vai mazāk virtuālo serveru. Iestatiet tīkla un drošības iestatījumus un kontrolējiet krātuvi, izmantojot Amazon EC2.

Informācija par jūsu gadījumu, ko var pielāgot vai pārvaldīt darbojošā instancē, tiek dēvēta par instances metadatiem. Instanču metadatu kategorijas ietver saimniekdatora nosaukumu, notikumus un drošības grupas. Turklāt, izmantojot instances metadatus, varat piekļūt lietotāja datiem, ko norādījāt, palaižot instanci.

Konfigurējot instanci, varat iekļaut īsu skriptu vai norādīt parametrus. Izmantojot lietotāja datus, varat izveidot vispārīgus AMI un mainīt palaišanas laika konfigurācijas failus.

Varat iestatīt jaunus vai esošus gadījumus, lai veiktu šādus uzdevumus, izmantojot instances metadatu opcijas:

  • Pieprasīt, lai gadījumu metadatu pieprasījumi tiktu nosūtīti, izmantojot IMDSv2
  • Ievietojiet PUT atbildes lēciena ierobežojumu.
  • Bloķēta instances metadatu piekļuve
  Cik daudz RAM patiešām ir nepieciešams Chromebook datoram?

Ir iespējams piekļūt metadatiem no aktīvas EC2 instances, izmantojot vienu no šīm metodēm: IMDSv1sIMDSv2

Instances metadatu pakalpojums ir pazīstams kā IMDS. Kā jūs varētu pieņemt, metodes nedaudz atšķiras; IMDSv1 izmanto pieprasījuma/atbildes metodi, savukārt IMDSv2 ir orientēts uz sesiju.

AWS mudina jūs izmantot IMDSv2, kas ir vēlamā metode. Pēc noklusējuma AWS SDK izmanto IMDSv2 izsaukumus, un varat pieprasīt lietotājiem konfigurēt jaunu EC2 ar iespējotu IMDSv2, IAM politikā izmantojot IAM nosacījumu atslēgas.

Izmantojiet tālāk norādītos IPv4 vai IPv6 URI, lai skatītu visu veidu instanču metadatus no darbināmas instances.

IPv4

čokurošanās http://169.254.169.254/latest/meta-data/

IPv6

čokurošanās http://[fd00:ec2::254]/latest/meta-data/

IP adreses ir saites vietējās adreses un ir derīgas tikai no instances.

Lai skatītu instances metadatus, varat izmantot tikai saites lokālo adresi 169.254.169.254 . Metadatu pieprasījumi, izmantojot URI, ir bezmaksas, tāpēc no AWS nav jāmaksā papildu maksa.

Nepieciešamība atspējot metadatus

AWS iestatījumos SSRF uzbrukums ir biežs un visiem labi zināms. Mandiant (kiberdrošības uzņēmums) ir atradis uzbrucējus, kas automatizē ievainojamības skenēšanu un ievāc IAM akreditācijas datus no publiski pieejamām tiešsaistes lietojumprogrammām.

  Kā pārvietot Reddit pogu uz leju

IMDSv2 ieviešana visiem EC2 gadījumiem, kam ir papildu drošības priekšrocības, samazinātu šos riskus jūsu uzņēmumam. Izmantojot IMDSv2, ievērojami samazinātos iespēja, ka ienaidnieks nozags IAM akreditācijas datus, izmantojot SSRF.

Server Side Request Forgery (SSRF) izmantošana, lai piekļūtu EC2 metadatu pakalpojumam, ir viens no visbiežāk izmantotajiem AWS izmantošanas paņēmieniem.

Metadatu pakalpojums ir pieejams lielākajai daļai EC2 gadījumu ar numuru 169.254.169.254. Tajā ir ietverta noderīga informācija par gadījumu, piemēram, tā IP adrese, drošības grupas nosaukums utt.

Ja EC2 instancei ir pievienota IAM loma, metadatu pakalpojumā būs arī IAM akreditācijas dati, lai autentificētos kā šī loma. Mēs varam nozagt šos akreditācijas datus atkarībā no izmantotās IMDS versijas un SSRF iespējām.

Ir arī vērts apsvērt, ka pretinieks ar čaulas piekļuvi EC2 instancei varētu iegūt šos akreditācijas datus.

Šajā piemērā tīmekļa serveris darbojas EC2 instances portā 80. Šim tīmekļa serverim ir vienkārša SSRF ievainojamība, kas ļauj mums nosūtīt GET pieprasījumus uz jebkuru adresi. To var izmantot, lai nosūtītu pieprasījumu uz http://169.254.169.254.

Lai atspējotu metadatus

Bloķējot instances metadatu pakalpojuma HTTP galapunktu, varat liegt piekļuvi jūsu instances metadatiem neatkarīgi no tā, kuru instances metadatu pakalpojuma versiju izmantojat.

  Pasaules pulkstenis ir vizuāla laika uzskaites lietotne ar dienas/nakts rīku [Mac]

Varat jebkurā laikā atsaukt šīs izmaiņas, iespējojot HTTP galapunktu. Izmantojiet komandu modify-instance-metadata-options CLI un iestatiet parametru http-endpoint uz atspējotu, lai atspējotu metadatus savai instancei.

Lai atspējotu metadatus, palaidiet šo komandu:

aws ec2 modify-instance-metadata-options – instance-id i-0558ea153450674 – http-galapunkts ir atspējots

metadatu atspējošana

Varat redzēt, ka pēc metadatu atspējošanas, mēģinot tiem piekļūt, tiek parādīts ziņojums AIZLIEGTS.

Ja vēlaties vēlreiz iespējot metadatus, palaidiet šo komandu:

aws ec2 modify-instance-metadata-options – instance-id i-0558ea153450674 – http-galapunkts ir iespējots

atkal iespējot metadatus

Secinājums

Metadati var būt noderīgi, lai iegūtu informāciju no lieliem datu krātuvēm. Tomēr to var arī ļaunprātīgi izmantot, lai uzzinātu par personas atrašanās vietu vai identitāti bez tās ziņas vai piekrišanas. Tā kā tajā tiek reģistrētas visas jūsu veiktās izmaiņas, tostarp svītrojumi un komentāri, jums ir jāapzinās, ka tajā var būt ietverta informācija, kuru jūs nevēlaties, lai citi varētu redzēt. Tā rezultātā metadatu noņemšana ir ļoti svarīga, lai saglabātu jūsu tiešsaistes privātumu un anonimitāti.

Varat arī izpētīt dažus AWS galvenos terminus, kas uzlabo jūsu AWS mācīšanos.