添加到元数据服务中的“皮带和吊带”保护
AWS在开发中为其元数据服务增加了额外的保护,最终将使服务器端请求伪造((SSRF)攻击更难以实现。
新的元数据协议,EC2实例元数据服务(IMDSV2),要求提出PUT请求以获取令牌。该令牌必须在所有后续请求中使用。
AWS向其EC2实例元数据服务的增强功能增强,以深入防御SSRF漏洞等等。
该更新还提供了防止错误配置的Web应用程序防火墙(WAFS)的保护 - 安全错误beplay体育能用吗链接到备受瞩目的漏洞今年早些时候在Capital One。
在一个博客文章,AWS工作人员ColmMacCárthaigh解释说:“使用IMDSV2,现在每个请求都受到会话身份验证的保护。
“令牌从来没有由IMDSV2存储,因此从后续的呼叫中永远无法检索,因此,当使用令牌终止该过程时,会话及其令牌被有效地破坏。”
他补充说:“会议最多可以持续六个小时,并且只能在该会话开始的EC2实例中直接使用会话令牌。”
Amazon EC2实例元数据服务(IMDS)是一个平台,允许开发人员通过管理对临时凭据的访问以及其他功能来构建安全应用程序。
四倍保护
AWS将继续支持其现有的实例元数据服务(IMDSV1),尽管并非固有的不安全,使公司在其基础架构中的潜在弱点处有风险,例如配置不良的WAF。
AWS表示:“ IMDSV2为四种可用于访问IMD的漏洞添加了新的'皮带和悬浮剂'保护措施。”
这些漏洞被AWS列为错误配置的打开网站防火墙,开放式反向代理,开放式3层防火墙和NATS(网络地址翻译)设备。beplay体育能用吗四重奏中还列出了未列出的SSRF漏洞。
最重要的是,如果公司开始依靠IMDSV2,那么利用SSRF将变得更加困难。
应用程序安全工程师Dylan Katz说在Twitter上:“这是一个可靠的改进。它可能会更好(实际上需要AUTH或增加禁用API的支持)。如果这是像Capital One这样的事件之前的默认值,那就更好了。”
AWS在其博客文章中继续说,它已经开发了许多工具来使“过渡到V2并禁用V1无缝”。
它说:“默认情况下,IMDSV1和IMDSV2都将可用并启用,并且客户可以选择他们将使用的东西。现在,IMDS现在只能仅限于V2,也可以完全禁用IMDS(V1和V2)。AWS建议采用V2并限制对V2的访问,仅是为了增加安全性。”
“ IMDSV1仍然适用于使用V1具有工具和脚本的客户,并且对其实例的现有安全姿势感到满意。”
每日swbeplay2018官网ig当被问到AWS的计划中,当它引入了更安全的选择后,该计划是否有什么计划(如果有的话)贬值。尚无消息,但是当我们听到更多信息时,我们会更新这个故事。
AWS的Mark Ryland将在即将到来的AWS回复:发明会议下个月。
