Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokol MSP (Metadata Security Protocol) je funkce ve službách Azure Virtual Machines a Azure Virtual Machine Scale Sets. Vylepšuje zabezpečení služeb Azure Instance Metadata Service a WireServer . Tyto služby jsou k dispozici ve virtuálních počítačích IaaS (Infrastruktura jako služba) Azure nebo škálovacích sadách virtuálních počítačů ve verzi 169.254.169.254 a 168.63.129.16.
Organizace používají službu Metadata Instance a WireServer k poskytování metadat a spouštění přihlašovacích údajů virtuálního počítače. V důsledku toho herci hrozeb často cílí na tyto služby. Běžné vektory zahrnují útoky zmateného zástupce proti úlohám v hostech a úniky ze sandboxu. Tyto vektory jsou obzvláště znepokojující pro úlohy hostované jménem, kde se do VM načítá nedůvěryhodný kód.
U metadatových služeb je hranice důvěry samotné virtuální zařízení (VM). Jakýkoli software v rámci hosta má oprávnění požadovat tajné kódy ze služby Instance Metadata Service a WireServeru. Vlastníci virtuálních počítačů jsou zodpovědní za pečlivé vytvoření sandboxu pro jakýkoli software, který spustí uvnitř virtuálního počítače, a zajišťují, aby externí aktéři nemohli provést exfiltraci dat. V praxi složitost problému vede k chybám ve velkém měřítku, což zase vede k zneužití.
Přestože existuje celá řada strategií hloubkové ochrany, poskytování tajných kódů prostřednictvím neověřeného rozhraní HTTP API nese vlastní riziko. V celém odvětví tato třída ohrožení zabezpečení ovlivnila stovky společností, ovlivnila miliony jednotlivců a způsobila finanční ztráty ve stovkách milionů dolarů.
Msp zavře nejběžnější chyby zabezpečení:
- Řešení původní příčiny těchto útoků.
- Představujeme koncepty silného ověřování a autorizace pro cloudové služby metadat.
Kompatibilita
MSP se podporuje na virtuálních počítačích Azure IaaS a škálovacích sadách virtuálních počítačů, které používají tyto operační systémy:
- Windows 10 nebo novější (x64)
- Windows Server 2019 (x64)
- Windows Server 2022 (x64)
- Windows Server 2025 (x64)
- Mariner 2.0 (x64, ARM64)
- Azure Linux (Mariner 3.0) (x64, ARM64)
- Ubuntu 20.04+ (x64, ARM64)
Následující položky se v současné době nepodporují:
- Red Hat Enterprise Linux 9 nebo novější
- Rocky Linux 9 a novější
- SUSE Linux Enterprise Server 15 SP4+
- Dočasné disky
- Kompatibilita se službou Azure Backup
- ARM64
Vylepšené zabezpečení
The Guest Proxy Agent (GPA) se chrání proti těmto typům útoků:
Omezení přístupu k metadatům na podmnožinu virtuálního počítače (použití principu nejméně privilegovaného přístupu)
Přepnutí z výchozího otevřeného modelu na výchozí uzavřený model
Například s vnořenou virtualizací může chybně nakonfigurovaný virtuální počítač L2, který má přístup k virtuální síťové kartě virtuálního počítače L1, komunikovat se službou metadat jako L1. S GPA by chybně nakonfigurovaný L2 už nemohl získat přístup, protože by se mu nepodařilo provést autentizaci se službou.
Při zajišťování služeb vytvoří služba metadat důvěryhodného delegáta uvnitř hosta (GPA). Dlouhodobý tajný kód je vyjednáván k ověření s důvěryhodným delegátem. Delegát musí schválit všechny požadavky na službu metadat pomocí ověřovacího kódu založeného na hashovacím algoritmu (HMAC). HMAC vytvoří vztah důvěryhodnosti typu point-to-point se silnou autorizací.
GpA používá eBPF k zachycení požadavků HTTP do služby metadat. eBPF umožňuje GPA ověřit identitu softwaru běžícího v hostovaném prostředí, který žádost provedl. GpA používá eBPF k zachycení požadavků bez nutnosti dalšího modulu jádra. GpA používá tyto informace k porovnání identity klienta s povoleným seznamem definovaným jako součást modelu virtuálního počítače v Azure Resource Manageru (ARM). Poté GPA schvaluje žádosti přidáním hlavičky podpisu. Funkci MSP tedy můžete povolit u stávajících úloh bez zásadních změn.
Ve výchozím nastavení se vynucují stávající úrovně autorizace:
- Služba Metadata instance je otevřená všem uživatelům.
- WireServer je pouze pro uživatele root/správce.
Toto omezení se v současné době provádí pomocí pravidel brány firewall v hostu. Jedná se o mechanismus, který je standardně otevřený. Pokud je toto pravidlo možné z nějakého důvodu zakázat nebo obejít, služba metadat požadavek stále přijímá. Zde povolený mechanismus autorizace je ve výchozím nastavení zavřený. Vynechání zachycení záměrně nebo omylem nezajišťuje přístup ke službě metadat.
Můžete nastavit pokročilou konfiguraci autorizace (tj. autorizovat konkrétní procesy v hostu a uživatelé pro přístup pouze ke konkrétním koncovým bodům) definováním vlastního seznamu povolených s sémantikou řízení přístupu na základě role (RBAC).
Výstraha
Upozorňujeme, že ve Windows můžou uživatelé povolit GuestProxyAgent (GPA) ze šablony ARM. V Linuxu se ale jedná o dvoustupňový proces. Nejprve se zřídí virtuální počítač nebo služba VMSS a teprve potom se dá nakonfigurovat gpA.