imds
Produits et Services PRODUITS & SERVICES

Comment sécuriser votre service de métadonnées d’instance (IMDS : Instance Metadata Service) sur AWS EC2 ?

Avec Sophos Cloud Optix, nous facilitons la détection des instances EC2 sur lesquelles la version 1 du service de métadonnées d'instance (IMDS : Instance Metadata Service) est activée et auxquelles des rôles IAM sont attribués.

Si vous avez des applications en cours d’exécution dans AWS, vous utilisez peut-être le service de métadonnées d’instance EC2 (IMDS) d’Amazon pour faire tourner les identifiants au lieu de les hardcoder ou de les distribuer manuellement périodiquement.

La version 2 d’IMDS est sortie fin 2019 et il est désormais fortement conseillé de l’utiliser en lieu et place de la version originale.

En effet, des WAF et des proxys inverses ouverts et mal configurés, des vulnérabilités SSRF non corrigées, des pare-feu de couche 3 mal configurés et ouverts et enfin des NAT (Network Address Translation) pourraient permettre aux attaquants d’accéder sans autorisation à votre réseau et à vos ressources internes, notamment en effectuant des appels vers les métadonnées d’instance (IMDS) EC2 v1 pour obtenir davantage d’informations sur les privilèges et les rôles IAM.

Alors qu’IMDSv1 exploitait une méthode de requête/réponse, la nouvelle version (IMDSv2) protège chaque requête par une authentification de session.

Avec Sophos Cloud Optix, nous facilitons la détection des instances EC2 sur lesquelles la version 1 du service de métadonnées d’instance (IMDS) est activée et auxquelles des rôles IAM sontimds attribués. La règle peut être trouvée dans la politique des bonnes pratiques de Sophos (Sophos Best Practices) pour AWS, disponible pour les clients Cloud Optix Advanced.

Si vous utilisez déjà Sophos Cloud Optix Advanced, cliquez sur la section ‘Politiques’ pour trouver la politique des bonnes pratiques de Sophos. Ouvrez ensuite la section Endpoint Security, puis assurez-vous que la règle AR-1052 soit bien activée.

Enfin, si vous n’utilisez pas Cloud Optix, rendez-vous sur sophos.com/optix pour en savoir plus et démarrer un essai gratuit de 30 jours. Les clients Sophos actuels peuvent également démarrer un essai de Sophos Optix directement depuis Sophos Central dans la section ‘Essais gratuits’, disponible en bas sur votre gauche.

Billet inspiré de How to secure your AWS EC2 Instance Metadata Service (IMDS), sur le Blog Sophos.