[AWS SCS] EC2 Instance Metadata - IMDSv1 vs IMDSv2

AWS EC2 인스턴스 메타데이터 서비스(IMDS) v1과 v2 비교 및 보안 강화 방법

AWS EC2 인스턴스 메타데이터 서비스(IMDS)는 EC2 인스턴스 내부에서 다양한 정보를 제공하는 기능입니다. 예를 들어, 인스턴스의 AMI ID, 인스턴스 타입, 네트워크 설정, IAM 역할의 임시 자격 증명 등을 제공해 자동화 및 설정 작업에 매우 유용합니다.

IMDS에는 v1과 v2라는 두 가지 버전이 있습니다. 특히 IMDSv2는 보안 강화를 목표로 설계된 최신 버전으로, 기존 IMDSv1과는 중요한 차이점이 있습니다. 이번 글에서는 IMDSv1과 IMDSv2의 차이, IMDSv2의 보안 이점, 그리고 이를 강제 적용하는 방법을 알아보겠습니다.

---

IMDSv1과 IMDSv2의 차이점

IMDSv1은 단순한 HTTP 요청을 통해 메타데이터 정보를 가져올 수 있습니다. 반면 IMDSv2는 보안을 강화하기 위해 세션 토큰 기반의 두 단계 인증을 요구합니다.

1. IMDSv1 방식
   • 단일 요청으로 URL 접근: http://169.254.169.254/latest/meta-data
   • 인증 절차 없음
   • 공격자에 의해 메타데이터가 노출될 위험이 큼
2. IMDSv2 방식
   • 두 단계 인증 절차
     • 먼저 HTTP PUT 요청으로 세션 토큰을 발급받음
     • 발급받은 토큰을 사용해 메타데이터 요청
   • 요청에 반드시 유효한 토큰 포함 필요
   • 세션 유효 기간을 제한할 수 있어 보안성이 높음

---

IMDSv2의 주요 보안 이점

IMDSv2는 다음과 같은 이유로 IMDSv1보다 안전합니다:

1. 인증 필수화
   • 토큰 없이 메타데이터에 접근할 수 없으므로, 자격 증명 유출 시에도 추가 보호 계층이 있습니다.
2. 세션 만료 설정
   • 토큰 TTL(Time to Live)을 설정하여 세션 유효 기간을 제한할 수 있습니다. 이는 자격 증명의 장기 사용을 방지합니다.
3. 공격 노출 감소
   • IMDSv2는 자격 증명을 자동으로 보호하며, 서버 측 요청 위조(SSRF) 공격으로 인한 메타데이터 노출 위험을 줄입니다.

---

IMDSv2 강제 적용 방법

IMDSv2를 강제 적용하려면 아래의 방법들을 활용할 수 있습니다:

1. CloudWatch 메트릭 확인
   • MetadataNoToken 메트릭을 사용해 IMDSv1 사용 여부를 확인합니다.
   • 값이 0보다 크면 IMDSv1이 여전히 사용되고 있음을 의미하므로 조치를 취해야 합니다.
2. EC2 인스턴스 생성 시 설정
   • AWS 콘솔이나 CLI에서 EC2 인스턴스를 생성할 때, HttpTokens 값을 required로 설정하여 IMDSv2만 사용하도록 강제합니다.
3. AMI 생성 시 설정
   • AMI 생성 시 IMDSv2를 지원하도록 등록합니다.
   • 예: aws ec2 register-image --imds-support v2.0
4. IAM 역할 정책을 통한 제한
   • IAM 정책을 통해 IMDSv1 사용을 차단할 수 있습니다.
   • 예를 들어, 특정 리소스에 접근하려는 요청이 IMDSv1을 사용할 경우 명시적으로 차단하는 정책을 설정할 수 있습니다.
5. Service Control Policy(SCP) 적용
   • 계정 전체에서 IMDSv2만 사용하도록 강제하려면 SCP를 사용합니다.
   • SCP를 통해 IMDSv1 사용을 전역적으로 차단할 수 있습니다.
6. 실행 중인 인스턴스 수정
   • 이미 실행 중인 인스턴스의 경우 ModifyInstanceMetadataOptions API를 사용해 IMDSv2로 전환할 수 있습니다.

---

결론

IMDSv2는 EC2 인스턴스의 보안성을 대폭 강화하기 위해 반드시 사용해야 하는 기능입니다. 기존의 IMDSv1 방식은 단순하고 빠르지만, 보안에 민감한 환경에서는 권장되지 않습니다. 따라서 IMDSv2를 적극적으로 도입하고, 이를 강제 적용하여 EC2 인스턴스 메타데이터 보호를 강화하세요.