是否有某种方法可以限制对内部元数据IP的访问?背景为:https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/
[当我卷曲获取所有数据时,我可以看到我的Google帐户的电子邮件地址以及其他内容。我想限制数据本身,并尽可能地访问数据。据我所知,在设置和引导过程中需要元数据。有没有解决的办法,或者至少有办法在引导后锁定访问?内部防火墙只是一个有限的解决方案,因为它可以由计算机内部的人禁用。
您可以尝试从用户中删除权限compute.instances.get refer documenation,以限制对元数据服务器的访问。
已将访问Compute Engine元数据服务器的权限授予该VM实例。您不能有选择地限制对部分内容的访问。
对于大多数VM实例操作,不需要元数据。它用于启动脚本,自定义安全设置(例如SSH密钥等)之类的项目。
您可以通过删除VM实例的所有范围来阻止对Metadata服务器的访问。
禁用对Metadata Server的访问权限意味着您无法为实例分配默认服务帐户。对于不需要访问其他Google Cloud服务的应用,可以。
这让您有一个全有或全无的选择。启用对元数据的访问或禁用对元数据的访问。
Tutorial on privilege escalation中的信息提供了很好的信息。如果可以破坏您的VM实例并获得本地登录名,那么您就遇到了严重的问题。为实例分配最小特权可以帮助减轻对其他资源和访问信息的损害。安全最佳实践意味着您可以保护VM实例,从而不会发生违反行为。一旦入侵者进入机器,元数据就成为许多人关注的一个问题。