DEV Community

Cover image for Resumo sobre a versão 2 do serviço de metadados de instância AWS EC2 (IMDSv2)
Rafael Conceição
Rafael Conceição

Posted on • Edited on

6 2

Resumo sobre a versão 2 do serviço de metadados de instância AWS EC2 (IMDSv2)

Por que a AWS lançou a versão 2 do IMDS?

Em 2019 uma nova versão do serviço de metadados de instâncias EC2 foi lançada adicionando proteção para quatro (04) tipos de vulnerabilidades que podem ser exploradas para acesso ao metadata, somando assim as mitigações existentes, como restrição de role e regras de firewall local.

  • WAF mal configurados
  • Proxies Reversos mal configurados
  • Vulnerabilidades SSRF não corrigidas
  • Firewalls de camada 3 e NATs mal configurados

O que há de novo?

Foi introduzido uma autenticação baseada em token, sendo que uma solicitação de PUT separada deve ser feita. As sessões podem durar até seis horas e, para maior segurança, um token de sessão só pode ser usado diretamente na instância EC2 em que a sessão começou.
Transição

Tanto o IMDSv1 quanto o IMDSv2 estarão disponíveis e habilitados por padrão. Também é possível restringir a apenas a versão 2, além de desabilitar totalmente o serviço.

Nosso objetivo é restringir a utilização a apenas a versão 2.

As novas consultas deverão ter o seguinte padrão de exemplo:

[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`

[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
Enter fullscreen mode Exit fullscreen mode

Para saber se uma instância está realizando chamadas utilizando a versão 1 é possível utilizar a métrica “MetadataNoToken” do CloudWatch. Essa métrica retorna o número de vezes que o serviço de metadados foi acesso com sucesso sem a utilização de um token.

Habilitando a versão 2

Em instâncias já existentes

Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-tokens como required. Quando você especifica um valor para http-tokens, também deve definir http-endpoint como enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
Enter fullscreen mode Exit fullscreen mode

No lançamento de novas instâncias

  • Via console

Ao executar uma nova instância no console do Amazon EC2, selecione as seguintes opções na página
Configure Instance Details:
Em Advanced Details > Metadata accessible, selecione Enabled.
Em Metadata version, selecione V2 (token required).

  • Via terraform

Resource: aws_instance e aws_launch_template

Nas opções de metadata (metadata_options) a opção "http_tokens" deve estar requerida (required).

metadata_options {
    http_tokens   = "required"
    http_endpoint = "enabled"
}
Enter fullscreen mode Exit fullscreen mode

Referências:

https://aws.amazon.com/pt/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

https://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/ec2-instance-metadata.html

https://www.youtube.com/watch?v=2B5bhZzayjI

https://d1.awsstatic.com/events/reinvent/2019/Security_best_practices_for_the_Amazon_EC2_instance_metadata_service_SEC310.pdf

https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/instance#metadata-options

https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/launch_template#metadata-options

Postmark Image

Speedy emails, satisfied customers

Are delayed transactional emails costing you user satisfaction? Postmark delivers your emails almost instantly, keeping your customers happy and connected.

Sign up

Top comments (0)

👋 Kindness is contagious

Immerse yourself in a wealth of knowledge with this piece, supported by the inclusive DEV Community—every developer, no matter where they are in their journey, is invited to contribute to our collective wisdom.

A simple “thank you” goes a long way—express your gratitude below in the comments!

Gathering insights enriches our journey on DEV and fortifies our community ties. Did you find this article valuable? Taking a moment to thank the author can have a significant impact.

Okay