如何使用IMDShift提升AWS工作负载的安全性

安全 应用安全
IMDShift是一款功能强大的AWS工作负载安全增强工具,该工具基于纯Python开发,可以帮助广大研究人员更好地提升AWS工作负载的安全。

关于IMDShift

IMDShift是一款功能强大的AWS工作负载安全增强工具,该工具基于纯Python开发,可以帮助广大研究人员更好地提升AWS工作负载的安全。

很多研究人员和开发人员在实践中会发现,依赖于元数据节点的AWS工作负载很容易会受到服务器端请求伪造(SSRF)攻击的影响,而IMDShift可以通过自动化的形式将所有的工作负载进程迁移到IMDSv2,在除了增加了额外功能的情况下,IMDSv2还实施了增强型的安全保护措施来帮助AWS工作负载抵御相关安全威胁,并大幅度提升安全性。

功能介绍

1、在各种服务中检测依赖元数据节点的AWS工作负载,包括EC2、ECS、EKS、Lightsail、AutoScaling Groups、Sagemaker Notebooks、Beanstalk(正在开发中);

2、提供了简单直观的命令行界面,易于使用;

3、支持将所有工作负载自动迁移到IMDSv2;

4、为兼容资源设置了独立的跳点限制更新;

5、为兼容资源启用独立元数据节点操作;

6、提供了迁移过程的详细日志记录;

7、使用了MetadataNoToken识别使用了IMDSv1的资源;

8、内置服务控制策略(SCP)建议;

工具安装

由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以根据实际需求,选择下列两种工具安装方式。

生产环境安装

git clone https://github.com/ayushpriya10/imdshift.git

cd imdshift/

python3 -m pip install .

开发环境安装

git clone https://github.com/ayushpriya10/imdshift.git

cd imdshift/

python3 -m pip install -e .

工具参数选项

--services TEXT:该参数可以从下列环境中扫描出使用了IMDSv1的工作负载实例:EC2, Sagemaker、ASG、Lightsail、ECS、EKS、Beanstalk;命令格式: "--services EC2,Sagemaker,ASG";

--include-regions TEXT:该案数明确指定要扫描IMDSv1使用情况的区域范围;命令格式: "--include-regions ap-south-1,ap-southeast-1";

--exclude-regions TEXT:该参数明确指定要从扫描中排除的区域;命令格式: "--exclude-regions ap-south-1,ap-southeast-1";

--migrate:这个布尔参数可以控制IMDShift是否要执行迁移任务,默认为“False”;命令格式: "--migrate"

--update-hop-limit INTEGER:该参数指定是否应更新跃点限制以及更新值。建议将跃点限制设置为“2”,以使容器能够使用IMDS节点。如果未传递此参数,则迁移期间不会更新跃点限制;命令格式: "--update-hop-limit 3";

--enable-imds:这个布尔参数可以让IMDShift启用资源元数据节点查看,并执行迁移操作;               命令格式: "--enable-imds";

--profile TEXT:该参数允许我们使用任意配置文件,路径为 ~/.aws/credentials file;命令格式: "--profile prod-env";

--role-arn TEXT:这个参数可以通过AWS STS声明一个用户角色;命令格式: "--role-arn arn:aws:sts::111111111:role/John";

--print-scps:这个布尔参数用于控制打印可以控制IMDS使用的SCP,默认为“False”;命令格式: "--print-scps";

--check-imds-usage:这个布尔参数可以启动一次扫描以识别过去30天内在指定区域中有多少个实例使用了IMDSv1,默认为“False”;命令格式: "--check-imds-usage";

--help:显示工具帮助信息和退出;

工具运行截图

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

IMDShift:【GitHub传送门】

参考资料

https://github.com/salesforce/metabadger

本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM

责任编辑:武晓燕 来源: FreeBuf.COM
相关推荐

2023-07-30 15:00:21

2015-07-17 13:16:06

2016-11-23 14:00:32

AWS安全性提升

2017-06-12 08:47:14

ESXi安全vSphere

2015-09-25 10:17:01

AWS合规性安全风险

2010-09-06 10:47:56

2022-06-14 23:34:10

Linux安全服务器

2018-02-05 08:26:11

大数据云存储安全性

2020-08-12 11:35:04

物联网安全机器学习物联网应用

2019-11-12 16:39:43

黑客网络安全云计算

2018-09-19 15:42:22

VMwareNSX安全

2016-11-29 19:21:55

2021-04-28 15:16:04

数据安全/SOC/安全

2024-02-27 11:13:59

2015-06-11 10:15:01

2016-11-04 13:27:25

AWS安全性失误

2012-02-29 09:13:08

ibmdw

2015-08-21 17:47:38

Docker安全EC2容器服务

2021-07-20 09:46:23

远程工作组织弹性

2019-03-05 10:48:24

Web浏览器前端
点赞
收藏

51CTO技术栈公众号