Instance Metadata Service (IMDS) v2
NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.
Contexto
El Instance Metadata Service (IMDS) de Amazon Elastic Compute Cloud (Amazon EC2) ayuda a los clientes a crear aplicaciones seguras y escalables. IMDS resuelve un desafío de seguridad para los usuarios de la nube al brindar acceso a credenciales temporales y que rotan con frecuencia al eliminar la necesidad de codificar o distribuir credenciales confidenciales a instancias de forma manual o programática. El servicio de metadatos de instancias versión 2 (IMDSv2) agrega protecciones para evitar el uso no autorizado de esas credenciales fuera de la instancia
Recomendaciones
- Configure todos los nuevos lanzamientos de instancias de Amazon EC2 en su cuenta para que utilicen el Instance Metadata Service versión 2 (IMDSv2) de forma predeterminada. ( Blogpost (Inglés)
)
- Utilice AWS Security Hub [EC2.8] Las instancias EC2 deben usar Instance Metadata Service Version 2 (IMDSv2)
o ec2-imdsv2-check
de AWS Config para comprobar que está usando IMDS v2
- Configure IMDS v2 en las instancias que estén usando v1.
Mitigación de riesgos
- [Acceso a credenciales]
Las aplicaciones vulnerables a ataques SSRF pueden usarse en instancias que usan IMDSv1 para extraer las credenciales de instancia que se usarán desde fuera de la instancia
Guía para evaluar su grado de alineación
- ¿Está usando IMDS v2?
- ¿Configuró IMDS v2 para todos los nuevos lanzamientos de instancias EC2?
- ¿Utiliza AWS Security Hub o AWS Config para verificar que está usando IMDS v2?
Más detalles en las siguientes publicaciones del blog:
Precios
IMDS v2 no tiene ningún costo adicional.