安全

EC2 元数据 169.254.169.254 的真面目 - 链路本地地址与 IMDSv2 的设计

解析 EC2 实例元数据服务端点 169.254.169.254 为何是链路本地地址、被 SSRF 攻击利用的历史,以及 IMDSv2 基于令牌认证诞生的经过。

約 2 分で読めます

169.254.169.254 在哪里

EC2 实例内部访问 http://169.254.169.254/latest/meta-data/ 时,会返回实例 ID、AMI ID、IAM 角色临时凭证、网络配置等实例元数据。这个 169.254.169.254 地址不是互联网上的服务器,而是 Nitro System 虚拟机管理程序提供的本地服务。169.254.0.0/16 是 RFC 3927 定义的链路本地地址,是不会被路由器转发的特殊地址范围。也就是说,对该地址的请求不会离开实例,由虚拟机管理程序直接响应。这种设计使元数据服务不受网络故障影响,也不依赖 VPC 路由配置。实例启动的瞬间,甚至在网络配置完成之前就能访问元数据服务。cloud-init 在执行实例初始配置时首先从元数据服务获取用户数据和网络配置,正是因为这种高可靠性。

Capital One 事件 - SSRF 导致元数据泄露的那天

2019 年 7 月,Capital One(美国大型银行)发生了约 1 亿人个人信息泄露事件。攻击者利用 Capital One Web 应用中存在的 SSRF(Server-Side Request Forgery)漏洞,从 EC2 实例元数据服务获取了 IAM 角色的临时凭证。SSRF 是让服务器端应用向任意 URL 发送请求的攻击。攻击者让 Web 应用发送 http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name 请求,获取了 IAM 角色的访问密钥、秘密密钥和会话令牌。利用这些凭证访问 S3 存储桶,下载了大量个人信息。这一事件暴露了 IMDSv1(Instance Metadata Service Version 1)的设计弱点。IMDSv1 通过简单的 HTTP GET 请求返回元数据,因此 SSRF 攻击可以轻易访问。

IMDSv2 - 基于令牌认证的防御

受 Capital One 事件影响,AWS 于 2019 年 11 月发布了 IMDSv2(Instance Metadata Service Version 2)。IMDSv2 是要求会话令牌才能访问元数据的基于令牌的认证方式。使用 IMDSv2 获取元数据时,需先通过 PUT 请求获取会话令牌,然后将该令牌包含在 HTTP 头中发送 GET 请求。这种两步认证能防止 SSRF 攻击的原因是,大多数 SSRF 漏洞只能执行 GET 请求。能执行 PUT 请求的 SSRF 漏洞很少见,而且还需要从响应头提取令牌并包含在下一个请求中这样复杂的操作。此外,IMDSv2 的令牌获取请求必须包含 X-aws-ec2-metadata-token-ttl-seconds 头,IP 转发的请求(TTL 设为 1,无法跨网络跳)也会被阻止。2024 年以后,AWS 将新实例的默认设置改为仅 IMDSv2,强烈建议禁用 IMDSv1。

元数据可获取信息的全貌

元数据服务可获取的信息涵盖广泛。包括实例基本信息(instance-id、instance-type、ami-id、hostname)、网络信息(local-ipv4、public-ipv4、mac、network/interfaces)、IAM 角色临时凭证(iam/security-credentials/role-name)、用户数据(user-data)、块设备映射(block-device-mapping)等。特别重要的是 IAM 角色临时凭证。为 EC2 实例附加 IAM 角色后,可从元数据服务获取临时访问密钥、秘密密钥和会话令牌。AWS SDK 内部自动使用此机制,开发者无需在代码中硬编码访问密钥。临时凭证自动轮换,有效期通常为 6 小时。元数据服务还包含实例的用户数据。用户数据是实例启动时指定的脚本或数据,cloud-init 用于初始配置。在用户数据中包含密码或密钥是危险的,因为任何人都可通过元数据服务读取。

元数据服务安全强化措施

除启用 IMDSv2 外,还有几种强化元数据服务安全的方法。第一,将 HttpPutResponseHopLimit 设为 1。这会阻止容器内对元数据的访问。当 ECS 或 Docker 容器内的应用无需访问元数据服务时,将跳数限制设为 1 可防止容器内的 SSRF 攻击。第二,完全禁用元数据服务。将 HttpEndpoint 设为 disabled 可完全阻止对元数据服务的访问。对于不需要 IAM 角色凭证的实例(使用固定凭证时),禁用元数据服务最为安全。第三,将 IAM 角色权限最小化。即使元数据服务的凭证泄露,如果角色权限最小,损害也可控。Capital One 事件中,泄露的角色拥有对 S3 存储桶的广泛访问权限,扩大了损害范围。要系统学习 EC2 安全设计,专业书籍 (Amazon)可供参考。

相关服务

Amazon EC2在云端提供虚拟服务器的计算服务AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务

相关文章

AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。IAM 策略评估逻辑完全解析 - 隐式 Deny 优先于显式 Allow 的机制逐步解析 IAM 在允许或拒绝请求时的评估流程,涵盖隐式 Deny、显式 Allow、显式 Deny 的优先级,以及 SCP、权限边界、会话策略的交叉判定。Amazon EC2 实例选型指南 - 实例系列与购买选项优化整理实例系列特点和 Graviton 处理器的性能优势,介绍按需、预留和 Spot 购买选项的使用指南。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

AWS IAM安全控制 AWS 资源访问的认证与授权服务,通过用户、组、角色和策略提供精细的访问管理AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。S3 的请求计费为何 GET 和 PUT 价格不同 - 存储 I/O 的经济学从写入的内部成本、纠删码、一致性保证机制解析 S3 的 GET 请求费用仅为 PUT 十分之一的原因,并介绍优化请求费用的实用技巧。EC2 Instance Connect 免除 SSH 密钥管理 - 通过浏览器和 CLI 安全连接解析 EC2 Instance Connect 的无密钥 SSH 连接、基于 IAM 的访问控制以及 Endpoint 的使用方法。