Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Metadata Security Protocol (MSP) adalah fitur di layanan Azure Virtual Machines dan Azure Virtual Machine Scale Sets. Ini meningkatkan keamanan Layanan Metadata Instans Azure dan layanan WireServer . Layanan ini tersedia di komputer virtual (VM) infrastruktur sebagai layanan (IaaS) Azure atau set skala komputer virtual masing-masing pada 169.254.169.254 dan 168.63.129.16.
Organisasi menggunakan Instance Metadata Service dan WireServer untuk menyediakan metadata dan memulai kredensial VM. Akibatnya, pelaku ancaman sering menargetkan layanan ini. Vektor umum termasuk serangan wakil yang bingung terhadap beban kerja dalam-tamu dan pelarian dari sandbox. Vektor-vektor ini menjadi perhatian khusus untuk beban kerja yang di-host-atas-nama-di mana kode yang tidak terpercaya dimuat ke dalam mesin virtual (VM).
Dengan layanan metadata, batas kepercayaannya adalah Mesin Virtual itu sendiri. Perangkat lunak apa pun dalam sistem tamu berwenang untuk meminta rahasia dari layanan metadata instans dan WireServer. Pemilik VM bertanggung jawab untuk secara hati-hati melakukan sandboxing perangkat lunak apa pun yang mereka jalankan di dalam VM dan memastikan bahwa aktor eksternal tidak dapat menyelundupkan data. Dalam praktiknya, kompleksitas masalah menyebabkan kesalahan dalam skala besar, yang pada gilirannya menyebabkan eksploitasi.
Meskipun ada banyak strategi pertahanan mendalam, memberikan rahasia melalui API HTTP yang tidak diautentikasi membawa risiko yang melekat. Di seluruh industri, kelas kerentanan ini telah mempengaruhi ratusan perusahaan, mempengaruhi jutaan individu, dan menyebabkan kerugian finansial dalam ratusan juta dolar.
MSP menutup kerentanan yang paling umum dengan:
- Mengatasi akar penyebab serangan ini.
- Memperkenalkan konsep autentikasi dan otorisasi yang kuat ke layanan metadata cloud.
Kompatibilitas
MSP didukung pada Azure IaaS VM dan set skala komputer virtual yang menjalankan sistem operasi ini:
- Windows 10 atau lebih baru (x64)
- Windows Server 2019 (x64)
- Windows Server 2022 (x64)
- Windows Server 2025 (x64)
- Mariner 2.0 (x64, ARM64)
- Azure Linux (Mariner 3.0) (x64, ARM64)
- Ubuntu 20.04+ (x64, ARM64)
Item berikut saat ini tidak didukung:
- Red Hat Enterprise Linux 9+
- Rocky Linux 9+
- SUSE Linux Enterprise Server 15 SP4+
- Disk Sementara
- Kompatibilitas dengan Azure Backup
- ARM64
Keamanan yang ditingkatkan
Agen Proksi Tamu (GPA) memperkuat terhadap jenis serangan ini dengan:
Membatasi akses metadata ke subset VM (menerapkan prinsip akses paling tidak istimewa).
Beralih dari model yang terbuka default ke model tertutup default .
Sebagai contoh, dengan virtualisasi bertingkat, VM L2 yang salah konfigurasi yang memiliki akses ke vNIC VM L1 dapat berkomunikasi dengan layanan metadata sebagai L1. Dengan GPA, L2 yang salah dikonfigurasi tidak lagi dapat mengakses, karena tidak dapat mengautentikasi dengan layanan.
Pada saat penyiapan, layanan metadata menetapkan delegasi tepercaya dalam tamu (GPA). Rahasia berumur panjang dinegosiasikan untuk mengautentikasi dengan delegasi tepercaya. Delegasi harus mendukung semua permintaan ke layanan metadata dengan menggunakan kode autentikasi pesan berbasis hash (HMAC). HMAC menetapkan hubungan kepercayaan titik-ke-titik dengan otorisasi yang kuat.
GPA menggunakan eBPF untuk mencegat permintaan HTTP ke layanan metadata. eBPF memungkinkan GPA untuk memverifikasi identitas perangkat lunak di dalam tamu yang membuat permintaan. GPA menggunakan eBPF untuk mencegat permintaan tanpa memerlukan modul kernel tambahan. GPA menggunakan informasi ini untuk membandingkan identitas klien dengan daftar diizinkan yang didefinisikan sebagai bagian dari model VM di Azure Resource Manager (ARM). Kemudian, GPA menyetujui permintaan dengan menambahkan tajuk tanda tangan. Jadi, Anda dapat mengaktifkan fitur MSP pada beban kerja yang ada tanpa melanggar perubahan.
Secara default, tingkat otorisasi yang ada diberlakukan:
- Layanan Metadata Instans terbuka untuk semua pengguna.
- WireServer hanya untuk root/admin saja.
Pembatasan ini diterapkan saat ini dengan aturan firewall di sistem tamu. Ini masih merupakan mekanisme yang terbuka secara default. Jika aturan tersebut dapat dinonaktifkan atau dilewati karena alasan apa pun, layanan metadata masih menerima permintaan tersebut. Mekanisme otorisasi yang diaktifkan di sini ditutup secara default. Melewati penyadapan dengan cara jahat atau karena kesalahan tidak memberikan akses ke layanan metadata.
Anda dapat menyiapkan konfigurasi otorisasi tingkat lanjut (yaitu, mengotorisasi proses dalam tamu tertentu dan pengguna untuk mengakses hanya titik akhir tertentu) dengan menentukan daftar izin kustom dengan semantik kontrol akses berbasis peran (RBAC).
Peringatan
Harap dicatat bahwa di Windows, pengguna dapat mengaktifkan GuestProxyAgent (GPA) dari templat ARM. Namun, di Linux ini adalah proses dua langkah. VM/VMSS diprovisikan terlebih dahulu dan hanya dengan begitu, GPA dapat dikonfigurasi.