Instance Metadata Service (IMDS) v2

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Contexto

El Instance Metadata Service (IMDS) de Amazon Elastic Compute Cloud (Amazon EC2) ayuda a los clientes a crear aplicaciones seguras y escalables. IMDS resuelve un desafío de seguridad para los usuarios de la nube al brindar acceso a credenciales temporales y que rotan con frecuencia al eliminar la necesidad de codificar o distribuir credenciales confidenciales a instancias de forma manual o programática. El servicio de metadatos de instancias versión 2 (IMDSv2) agrega protecciones para evitar el uso no autorizado de esas credenciales fuera de la instancia

Recomendaciones

  1. Configure todos los nuevos lanzamientos de instancias de Amazon EC2 en su cuenta para que utilicen el Instance Metadata Service versión 2 (IMDSv2) de forma predeterminada. ( Blogpost (Inglés) )
  2. Utilice AWS Security Hub [EC2.8] Las instancias EC2 deben usar Instance Metadata Service Version 2 (IMDSv2) o ec2-imdsv2-check de AWS Config para comprobar que está usando IMDS v2
  3. Configure IMDS v2 en las instancias que estén usando v1.

Mitigación de riesgos

  • [Acceso a credenciales] Las aplicaciones vulnerables a ataques SSRF pueden usarse en instancias que usan IMDSv1 para extraer las credenciales de instancia que se usarán desde fuera de la instancia

Guía para evaluar su grado de alineación

  • ¿Está usando IMDS v2?
  • ¿Configuró IMDS v2 para todos los nuevos lanzamientos de instancias EC2?
  • ¿Utiliza AWS Security Hub o AWS Config para verificar que está usando IMDS v2?

Más detalles en las siguientes publicaciones del blog:

Precios

IMDS v2 no tiene ningún costo adicional.