云服务器 ECS - ECS实例支持以安全加固模式访问实例元数据
Apr 01 2020
云服务器 ECS实例支持加固模式访问元数据,基于token鉴权访问实例元数据。对SSRF攻击有更好的防范效果,提升实例数据安全性。
适用客户
建议以下自建应用并使用实例元数据的用户尽快切换到加固模式。 1. 自建网络防火墙应用 2. 自建反向代理应用 3. 自建并提供转码、下载服务的Web应用
新增功能/规格
ECS实例已经在所有地域支持安全加固模式访问实例元数据,避免服务端请求伪造(SSRF)造成元数据泄露。 SSRF(Server-Side Request Forgery)是指攻击者利用服务器漏洞,篡改获取资源的请求发给服务端,进而利用服务端访问其所在内网资源的攻击方式。由于访问实例元数据时,服务端通过URL方式分享数据内容,因此可能被恶意篡改用于攻击从外网无法访问的内部系统。针对SSRF攻击,建议用户采用加固模式访问实例元数据。 加固模式下,ECS实例和实例元数据服务器间建立一个会话,并在访问实例元数据时通过token验证身份,超过有效期后关闭会话并清除token。token具有以下特点: * 仅适用于一台ECS实例,将token文件复制到其它ECS实例使用,会被拒绝访问。 * 必须定义token有效期,范围为1秒~21600秒(6小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。 * 不接受代理访问,如果创建token的请求中包含X-Forwarded-For标头,则拒绝签发token。 * 不限制向ECS实例签发的token数量。
