ECS实例支持以安全加固模式访问实例元数据

适用客户

建议以下自建应用并使用实例元数据的用户尽快切换到加固模式。
1. 自建网络防火墙应用
2. 自建反向代理应用
3. 自建并提供转码、下载服务的Web应用

发布功能

ECS实例已经在所有地域支持安全加固模式访问实例元数据,避免服务端请求伪造(SSRF)造成元数据泄露。
SSRF(Server-Side Request Forgery)是指攻击者利用服务器漏洞,篡改获取资源的请求发给服务端,进而利用服务端访问其所在内网资源的攻击方式。由于访问实例元数据时,服务端通过URL方式b ~ z j N分享数据内容,因此可能被恶意篡改用于攻击从外网无法访问的内部系统。针对SSRF攻击,建议c & _ |用户采用加固C $ B 3 { t _ 5模式访问实例J w F b s w ( /元数据。
加固模式下,ECS实例和实例元数据服务器间建立一个会话,并在访问实例元数据时通过token验证身份,超过有效期后关闭会话_ 3 ; B并清除token。token具有以下特点:
* 仅适用于一台ECS实例,将tokenJ 6 B文件复制到其它ECS实例使用,会被拒绝访问。
* 必须定义token有效期,范围为1秒~21600秒q 2 l { A 0 . i(6小时)。在有效期内可以重复使用,方便您平衡安全性和用户体验。
* 不接受代理访问,如X F H A果创建token的请求中包含X-Forwarded-For标头,则拒绝签发token。
* 不限制向ECS实例签发的token数量。

产品文档

https://help.aliyun.com/document_det} [ 4ail/150575.html