Proteggere l’accesso ai servizi di metadata delle Azure VM con Metadata Security Protocol (MSP)
Le macchine virtuali Azure utilizzano alcuni servizi infrastrutturali per comunicare con la piattaforma. Tra i più importanti vi sono Azure Instance Metadata Service (IMDS) (169.254.169.254) e WireServer (168.63.129.16). Questi endpoint consentono alla VM di ottenere informazioni di configurazione e di utilizzare funzionalità della piattaforma; IMDS, inoltre, permette di richiedere i token associati alle Managed Identity. In passato, il modello di sicurezza presupponeva che i processi in esecuzione all’interno della VM fossero implicitamente attendibili. Di conseguenza, qualsiasi workload presente nella macchina virtuale poteva tentare di accedere ai servizi di metadata. Questo approccio non è più sufficiente negli ambienti moderni, dove una…