阿里云服务器 ECS - ECS实例支持以安全加固模式访问实例元数据
阿里云服务器 ECS 实例支持加固模式访问元数据,基于token鉴权访问实例元数据。对SSRF攻击有更好的防范效果,提升实例数据安全性。
适用客户
建议以下自建应用并使用实例元数据的用户尽快切换到加固模式。
1. 自建网络防火墙应用
2. 自建反向代理应用
3. 自建并提供转码、下载服务的Web应用
发布功能
ECS实例已经在所有地域支持安全加固模式访问实例元数据,避免服务端请求伪造(SSRF)造成元数据泄露。
SSRF(Server-Side Request Forgery)是指攻击者利用服务器漏洞,篡改获取资源的请求发给服务端,进而利用服务端访问其所在内网资源的攻击方式。由于访问实例元数据时,服务端通过URL方式分享数据内容,因此可能被恶意篡改用于攻击从外网无法访问的内部系统。针对SSRF攻击,建议用户采用加固模式访问实例元数据。
加固模式下,ECS实例和实例元数据服务器间建立一个会话,并在访问实例元数据时通过token验证身份,超过有效期后关闭会话并清除token。token具有以下特点:
* 仅适用于一台ECS实例,将token文件复制到其它ECS实例使用,会被拒绝访问。
* 必须定义token有效期,范围为1秒~21600秒(6小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。
* 不接受代理访问,如果创建token的请求中包含X-Forwarded-For标头,则拒绝签发token。
* 不限制向ECS实例签发的token数量。
点击直达阿里云ECS实例优惠购买页面:https://promotion.aliyun.com/ntms/act/qwbk.html?userCode=7vlofaua
本文地址:https://www.helloaliyun.com/product/1164.html