Se le tue app sono in esecuzione in AWS, potresti usare l’IMDS EC2 di Amazon per ruotare le credenziali invece di codificarle o distribuirle manualmente periodicamente.
La versione 2 di IMDS è stata rilasciata alla fine del 2019 e oggi se ne raccomanda caldamente l’utilizzo al posto della versione originale.
Ciò è dovuto al fatto che WAF, reverse proxy, firewall layer-3 e NAT aperti o non configurati correttamente e vulnerabilità SSRF senza patch potrebbero consentire agli aggressori l’accesso non autorizzato alla rete e alle risorse interne, comprese le chiamate a EC2 Instance Metadata Service (IMDS) v1 per scoprire di più sui privilegi e sui ruoli IAM.
Mentre l’IMDSv1 sfruttava un metodo di richiesta/risposta, la nuova versione (IMDSv2) protegge ogni richiesta mediante l’autenticazione della sessione.
Con Sophos Cloud Optix, semplifichiamo il rilevamento delle istanze EC2 con la versione 1 di IMDS abilitata e a cui sono assegnati ruoli IAM. La regola può essere trovata come parte della policy Sophos Best Practices per AWS, disponibile per i clienti di Cloud Optix Advanced.
Se si utilizza già Sophos Cloud Optix Advanced, basta cliccare nella sezione Policies per trovare la policy Sophos Best Practices. Espandi la sezione Endpoint Security, quindi assicurati che la regola AR-1052 sia abilitata.
Se invece non utilizzi Cloud Optix, vai su sophos.com/optix per saperne di più e iniziare una prova gratuita di 30 giorni. Gli attuali clienti Sophos possono anche iniziare una prova di Optix direttamente da Sophos Central nella sezione Prove gratuite nella parte inferiore della barra di navigazione a sinistra.