IMDS v2 에 대한 정보(v1 과 v2 차이)

AWS IMDS: v1 vs. v2

AWS IMDS(Instance Metadata Service)는 AWS EC2 인스턴스에서 실행되며, 인스턴스 자체에 관한 중요한 정보를 제공하는 서비스입니다. 이 서비스는 특정 IP 주소(169.254.169.254)를 통해 접근할 수 있으며, 인스턴스의 IAM 역할, 네트워크 설정, 보안 그룹 등의 정보를 동적으로 조회할 수 있습니다.

IMDS v1

IMDS v1에서는 인스턴스 메타데이터에 접근할 때 보안 문제가 발생할 수 있는 위험이 있었습니다. 특히, 인스턴스 내부에서 실행 중인 애플리케이션이나 악성 공격자가 인스턴스 메타데이터에 직접 접근할 수 있었습니다. 이는 보안 취약점을 악용할 가능성을 내포하고 있었습니다.

IMDS v2

IMDS v2는 이러한 보안적인 문제를 해결하기 위해 도입된 버전입니다. 주요 변경 사항은 다음과 같습니다:

• 세션 기반 접근 제어: IMDS v2에서는 인스턴스 메타데이터에 접근하기 위해 세션 기반의 접근 제어 메커니즘이 도입되었습니다. 이는 애플리케이션이 먼저 세션 토큰을 검색해야만 메타데이터에 접근할 수 있도록 하여 보안을 강화합니다.
• 세션 토큰의 시간 제한: IMDS v2에서 발급된 세션 토큰은 시간 제한이 존재하며, 일정 시간이 지나면 자동으로 만료됩니다. 이는 토큰의 남용을 방지하고 보안을 강화하는 데 중요한 역할을 합니다.
• 감사 로깅: IMDS v2는 접근 로그를 자세히 기록하여 인스턴스 메타데이터 접근의 추적을 용이하게 합니다. 이는 보안 사건 감지와 조치에 있어 중요한 도구가 됩니다.

IMDS 의미

IMDS는 Instance Metadata Service의 약어로, AWS EC2 인스턴스에서 실행되는 메타데이터 접근 서비스를 가리킵니다.

 

IMDS v2 설정하기

IMDS v2를 설정하는 방법은 다음과 같습니다:

1. IMDS v2 활성화: 기본적으로 IMDS v2는 도입 후 새로운 EC2 인스턴스에 대해 활성화됩니다. 기존 인스턴스에서는 AWS CLI나 SDK를 사용하여 IMDS v2를 활성화할 수 있습니다.
2. 인스턴스 메타데이터 서비스 제어 (IMDS-C): IMDS-C를 사용하여 IMDS 접근을 관리합니다. 세션 토큰 TTL(Time-to-Live) 설정 및 인스턴스 메타데이터 엔드포인트 보호 활성화 등을 포함합니다.
3. 보안 최고의 실천 방법: 인스턴스 IAM 역할을 안전하게 관리하고, IMDS에 대한 직접적인 외부 접근을 최소화하는 등 AWS 최고의 실천 방법을 준수하여 잠재적인 보안 위험을 완화합니다.

결론

AWS IMDS v2는 AWS EC2 인스턴스에서의 메타데이터 접근의 보안성과 기능성을 향상시키는 중요한 발전을 나타냅니다. IMDS v2를 채택하고 올바르게 설정함으로써 AWS 사용자는 동적 인스턴스 메타데이터를 안전하게 활용하면서도 견고한 보안 세트업을 유지할 수 있습니다.

(더 자세한 IMDS v2 설정 방법과 최고의 실천 방법에 대해서는 AWS 문서를 참조)