AWS의 메타데이터 서버가 링크 로컬 주소를 사용하는 이유 ( 169.254.169.254 주소는?)
링크 로컬 주소란?
링크 로컬 주소 같은 네트워크와 브로드케스트 도메인에서만 통신이 유효한 네트워크 주소이다.
라우터 외부로 나가면, 더 이상 같은 네트워크가 아니기 때문에 라우터가 패킷을 전송하지 않는다.
IPv4에서는 169.254.0.0/16 범위, IPv4에서는 fe80::/10 범위가 링크 로컬 주소로 예약되어 있다.
(IPv4에서 실제로 사용가능한 주소는 169.254.1.0 ~ 169.254.254.255이다.)
이러한 링크 로컬 주소는 일반적으로 DHCP를 통해 주소를 할당받을 수 없을 때 (DHCP 서버가 존재하지 않거나 더 이상 IP 풀이 없을 때), 예약된 링크 로컬의 범위 내에서 랜덤으로 IP를 선택한다.
선택한 IP로 ARP를 날려, 응답이 있다면 다른 IP를 선택하고 응답이 없다면 해당 IP를 사용하게 된다.
AWS 메타데이터 서버
AWS나 GCP와 같은 CSP들은 링크 로컬 주소인 169.254.169.254 주소를 메타데이터의 서버로 사용한다.
처음에는 메타 데이터 서버가 없더라도, 인스턴스(VM)의 시작 시점에서 메타 데이터를 설정해 두면 오프라인에서도 편리하게 메타데이터 사용할 수 있는 것이 아닐까 생각했다.
하지만 인스턴스 내부에 정보가 있다면, 임의로 AWS에서 부여한 값(IAM role이나 EC2 ID)을 바꾼다던지의 보안 문제가 발생할 수 있다고 생각한다. 특히 VM 실행 중에 IAM 프로필을 수정하는 경우 문제가 발생하기 쉽다.
반대로 메타 데이터 서버에서 받아온다면 실행 중과 관계 없이, 서버로부터 현재 값을 확인할 수 있기 때문에 보안적으로도 우수하다.
메타 데이터 서버가 링크 로컬을 사용하는 이유
하지만 메타 데이터 서버 자체의 보안이 허술하다면 모든 중요 데이터가 노출될 수 있다.
따라서 링크 로컬 주소인 169.254.169.254를 사용하여, 해당 네트워크 범위를 벗어난 외부에서는 메타 데이터 서버로 접근할 수 없도록 한다.
(네트워크 관리자가 우회 방법을 마련하지 않는 이상 외부에서의 접근은 애초에 외부의 169.254.169.254로의 경로가 존재할 수 없다.)
메타 데이터 서버로의 경로는 AWS의 백본 네트워크 또는 물리 호스트(GCP는 물리호스트 내에서 응답)로 한정되기 때문에 정보를 빼낼 수 없다. 그렇기에 메타 데이터를 curl 할 때도 특별한 보안을 하지 않고 HTTP로 정보를 얻어오게 된다.
AWS는 공식 정보가 없어서, 정확히 어디서 메타데이터의 응답을 제공하는지는 모르겠다.
(GCP처럼 물리 호스트가 제공하거나 endpoint를 통해 AWS 서버에 접근할 수도 있다.)
추가적으로 현재 AWS는 발전된 보안을 제공하는 IMDSv2를 통해 세션 토큰을 받아, 메타데이터 서버로 접근하도록 권고하고 있다.
참조
https://nangman14.tistory.com/49
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html