建立執行個體時啟用僅加固模式訪問中繼資料。
安全風險
普通方式訪問執行個體中繼資料,請求通過IP地址鑒權,意味著攻擊者可以偽造請求的源IP地址,繞過IP地址鑒權,進行SSRF攻擊,造成執行個體中繼資料中敏感資訊泄露風險。加固方式訪問中繼資料必須先擷取有效中繼資料訪問憑證進行身分識別驗證和授權,該訪問憑證只能在ECS執行個體內部產生,在特定的ECS執行個體上使用,且具有時效性,攻擊者難以通過猜測或偽造的方式產生,可以防範大多數SSRF攻擊。
最佳實務
控制台
通過執行個體購買頁建立執行個體時,避免使用普通模式和加固模式,應選擇僅加固模式(僅部分最新公用鏡像版本支援)。
重要
設定強制加固模式擷取執行個體中繼資料後,請確保訪問中繼資料的應用代碼已全部切換為token鑒權方式訪問中繼資料。
API
通過RunInstances或者CreateInstance介面建立執行個體時,指定HttpTokens參數為required,HttpEndpoint參數為enabled啟用僅加固模式中繼資料訪問。
合規能力
攔截:禁止建立非僅加固模式的執行個體
在組織或賬戶層面通過RAM Policy策略,主動攔截非僅加固模式的執行個體建立等行為。
針對企業使用者:
使用阿里雲主帳號登入資來源目錄控制台,單擊左側功能表列的管控策略,建立自訂權限原則,粘貼以下JSON內容。
禁止在建立執行個體、修改執行個體中繼資料訪問模式等操作中設定非僅加固模式。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:RunInstances", "ecs:CreateInstance", "ecs:ModifyInstanceMetadataOptions" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:SecurityHardeningMode": ["false"] } } } ] }在資來源目錄中選擇合適的節點繫結原則,策略將對目錄下的帳號產生攔截效果。
針對非企業使用者:
使用阿里雲主帳號登入RAM控制台,單擊左側功能表列的權限原則,建立一條與上述內容相同的自訂策略。
通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。
修複:修複非僅加固模式的執行個體
具體操作,請參見為已有執行個體設定強制加固模式。