Bài viết này sẽ hướng dẫn bạn về siêu dữ liệu EC2 và lý do nó quan trọng. Bạn cũng sẽ học cách tắt siêu dữ liệu để bảo vệ chống lại các cuộc tấn công như SSRF.
Amazon Dịch vụ Web (AWS) có một dịch vụ Amazon Đám mây điện toán đàn hồi (Amazon EC2) cung cấp khả năng xử lý có thể mở rộng. sử dụng Amazon EC2, bạn có thể phát triển và triển khai các ứng dụng nhanh hơn mà không cần đầu tư trước vào phần cứng.
Chạy nhiều hoặc nhiều máy chủ ảo nếu cần. Định cấu hình cài đặt mạng và bảo mật cũng như kiểm soát lưu trữ bằng Amazon EC2.
Thông tin về phiên bản của bạn có thể được tùy chỉnh hoặc quản lý trong phiên bản đang chạy được gọi là siêu dữ liệu phiên bản. Các danh mục siêu dữ liệu của phiên bản bao gồm tên máy chủ, sự kiện và nhóm bảo mật. Ngoài ra, bạn có thể truy cập dữ liệu người dùng được chỉ định trong quá trình khởi động phiên bản bằng siêu dữ liệu phiên bản.
Bạn có thể bao gồm một tập lệnh ngắn hoặc chỉ định tham số khi định cấu hình phiên bản. Sử dụng dữ liệu người dùng, bạn có thể tạo AMI chung và thay đổi tệp cấu hình khi khởi động.
Bạn có thể định cấu hình các phiên bản mới hoặc hiện có để thực hiện các tác vụ sau bằng cách sử dụng các tùy chọn siêu dữ liệu của phiên bản:
- Yêu cầu IMDSv2 yêu cầu siêu dữ liệu phiên bản
- Nhập giới hạn bước nhảy phản hồi PUT.
- Truy cập vào siêu dữ liệu phiên bản khóa
Có thể truy cập siêu dữ liệu từ phiên bản EC2 đang hoạt động bằng một trong các kỹ thuật sau: IMDSv1sIMDSv2
Dịch vụ siêu dữ liệu cá thể được gọi là IMDS. Như bạn có thể mong đợi, các phương pháp có một chút khác biệt; IMDSv1 sử dụng phương thức yêu cầu/phản hồi trong khi IMDSv2 được định hướng theo phiên.
AWS khuyến khích sử dụng IMDSv2, đây là phương pháp được ưu tiên. Theo mặc định, SDK AWS sử dụng lệnh gọi IMDSv2 và bạn có thể yêu cầu người dùng định cấu hình EC2 mới có bật IMDSv2 bằng cách sử dụng các khóa điều kiện cấp phép trong chính sách cấp phép.
Sử dụng các URI IPv4 hoặc IPv6 sau để xem tất cả các loại siêu dữ liệu phiên bản từ một phiên bản đang chạy.
IPv4
cuộn tròn http://169.254.169.254/latest/meta-data/
IPv6
gói http: //[fd00:ec2::254]/mới nhất/siêu dữ liệu/
Địa chỉ IP là cục bộ và chỉ hợp lệ từ các phiên bản.
Bạn chỉ có thể sử dụng địa chỉ liên kết cục bộ 169.254.169.254 để xem siêu dữ liệu của phiên bản. Yêu cầu siêu dữ liệu qua URI là miễn phí nên AWS không tính thêm phí.
Cần vô hiệu hóa siêu dữ liệu
Trong các cấu hình AWS, cuộc tấn công SSRF là phổ biến và được mọi người biết đến. Mandiant (một công ty an ninh mạng) đã phát hiện ra những kẻ tấn công tự động quét lỗ hổng và thu thập thông tin đăng nhập IAM từ các ứng dụng web có sẵn công khai.
Việc triển khai IMDSv2 cho tất cả các phiên bản EC2, vốn có các lợi thế bảo mật bổ sung, sẽ giảm thiểu những rủi ro này cho doanh nghiệp của bạn. Khả năng kẻ thù đánh cắp thông tin đăng nhập IAM qua SSRF sẽ giảm đáng kể với IMDSv2.
Sử dụng giả mạo yêu cầu phía máy chủ (SSRF) để truy cập dịch vụ siêu dữ liệu EC2 là một trong những kỹ thuật được giảng dạy rộng rãi nhất để sử dụng AWS.
Dịch vụ siêu dữ liệu có sẵn cho hầu hết các phiên bản EC2 tại 169.254.169.254. Chứa thông tin hữu ích về phiên bản, chẳng hạn như địa chỉ IP, tên nhóm bảo mật, v.v.
Nếu vai trò IAM được liên kết với một phiên bản EC2, thì dịch vụ siêu dữ liệu cũng sẽ chứa thông tin xác thực để xác thực vai trò đó. Chúng tôi có thể đánh cắp các thông tin xác thực này tùy thuộc vào phiên bản IMDS bạn đang sử dụng và các khả năng của SSRF.
Cũng cần lưu ý rằng một đối thủ có quyền truy cập shell vào phiên bản EC2 có thể lấy được các thông tin xác thực này.
Trong ví dụ này, máy chủ web đang chạy trên cổng 80 của phiên bản EC2. Máy chủ web này có một lỗ hổng SSRF đơn giản cho phép chúng tôi gửi các yêu cầu GET tới bất kỳ địa chỉ nào. Điều này có thể được sử dụng để gửi yêu cầu tới http://169.254.169.254.
Để tắt siêu dữ liệu
Bằng cách chặn điểm cuối HTTP của dịch vụ siêu dữ liệu phiên bản, bạn có thể ngăn truy cập vào siêu dữ liệu phiên bản, bất kể phiên bản dịch vụ siêu dữ liệu phiên bản bạn đang sử dụng.
Bạn có thể hoàn tác thay đổi này bất kỳ lúc nào bằng cách bật điểm cuối HTTP. Để tắt siêu dữ liệu cho phiên bản của bạn, hãy sử dụng lệnh CLI Modify-instance-metadata-options và đặt tham số điểm cuối http thành tắt.
Để tắt siêu dữ liệu, hãy chạy lệnh này:
aws ec2 sửa đổi-phiên bản-siêu dữ liệu-tùy chọn-phiên bản-id i-0558ea153450674-http-điểm cuối bị vô hiệu hóa
vô hiệu hóa siêu dữ liệu
Bạn có thể thấy rằng khi siêu dữ liệu bị tắt, nếu tôi cố truy cập vào nó, tôi sẽ nhận được thông báo CẤM.
Nếu bạn muốn bật lại siêu dữ liệu, hãy chạy lệnh này:
aws ec2 metadata-instance-modification-options-instance-id i-0558ea153450674-http-endpoint đã bật
bật lại siêu dữ liệu
Đăng kí
Siêu dữ liệu có thể hữu ích cho việc trích xuất thông tin từ kho dữ liệu lớn. Tuy nhiên, nó cũng có thể bị lạm dụng để biết vị trí hoặc danh tính của một người mà họ không biết hoặc không đồng ý. Vì nó ghi lại mọi thay đổi bạn thực hiện, bao gồm cả thao tác xóa và nhận xét, nên bạn cần lưu ý rằng nó có thể chứa thông tin mà bạn không muốn người khác xem. Do đó, việc xóa siêu dữ liệu là rất quan trọng để duy trì quyền riêng tư và ẩn danh trực tuyến của bạn.
Bạn cũng có thể tự làm quen với một số thuật ngữ chính của AWS sẽ nâng cao trải nghiệm học tập AWS của bạn.
