Amazon aide à renforcer la sécurité des déploiements dans son cloud

Amazon vient de profiter de la grand-messe annuelle de son environnement cloud, re:Invent, qui se déroule cette semaine à Las Vegas, pour lever le voile sur quelques nouveautés conçues pour aider au renforcement de la sécurité des déploiements sur AWS.

Et cela commence par le service Detective, qui doit permettre de simplifier l’enquête sur les événements de sécurité. Amazon ne prend pas là la voie choisie par Microsoft avec Azure Sentinel, ou Google avec Chronicle Backstory. Son service Detective se présente comme une surcouche de visualisation et d’analyse de ce qu’auront au préalable identifié d’autres services tels que GuardDuty, en premier lieu, mais également Inspector ou Macie.

Detective s’appuie pour cela sur les données collectées par CloudTrail et les logs de flux réseau de son service VPC – avec bientôt, en prime, les traces de requêtes DNS. Il peut également ingérer les données provenant de solutions de sécurité cloud tierces. McAfee, Check Point et Sophos ont déjà annoncé le support d’Amazon Detective, notamment pour faciliter le passage à la phase d’investigation.

Pour aider à l’enquête sur des incidents ou des observables spécifiques, le nouveau service d’AWS construit automatiquement des graphs comportementaux, affichant dans une représentation interactive ressources et utilisateurs ainsi que leurs interactions au fil du temps. Dès l’activation, il ingère et analyse deux semaines d’historique d’activité auprès de GuardDuty pour déterminer des comportements de référence. Le service peut également fonctionner sans celui-ci, mais il aura alors besoin de temps pour établir ces modèles.

Amazon Detective est actuellement proposé gratuitement sur plusieurs régions – dont l’Europe, avec l’Irlande – en phase d’aperçu. Passée cette période – dont l’échéance n’a pas été précisée –, le service sera facturé au volume de données ingérées par mois, par compte et par région.

La seconde nouveauté touche à la gestion des identités et des accès. Baptisée IAM Access Analyzer, elle vise à aider à s’assurer que les règles en place fournissent bien les droits d’accès voulus aux ressources, et rien de plus. Et cela recouvre les buckets S3, les clés de chiffrement gérées dans KMS, les files SQS, les rôles IAM ainsi que les fonctions AWS Lambda.

Concrètement, Amazon explique qu’IAM Access Analyzer cherche à déterminer tous les chemins d’accès à une ressource rendus possibles par les règles qui lui sont appliquées. Le résultat de cette analyse, conduite en continu, est présenté dans la console d’IAM.

Cette nouvelle fonctionnalité apparaît comme un effort supplémentaire d’Amazon pour aider ses clients à éviter d’exposer fortuitement des ressources à tous les vents. À l’automne 2018, il avait déjà présenté de nouveaux paramètres visant à réduire le risque d’exposition involontaire de buckets S3 à des tiers non autorisés, par le fait d’erreurs de configuration.

Enfin, Amazon a levé le voile sur AWS Nitro Enclaves, qui doit permettre d’exécuter des traitements sensibles dans des enclaves sécurisées, des machines virtuelles rattachées à des instances EC2 dépourvues de stockage persistant, sans accès administratif, et avec pour seule connectivité un lien vers l’instance EC2 correspondante.

Microsoft a proposé déjà cela dans Azure avec Confidential Computing. Amazon apparaît donc rattraper ainsi un certain retard. Et cela paraît d’autant opportun que les instances C5 d’EC2 sont équipées de processeurs supportant SGX : le support de ces extensions n’était simplement jusque-là pas activé au niveau du Bios des systèmes correspondants. Pour l’heure, toutefois, Amazon n’a pas annoncé rejoindre le Confidential Computing Consortium créé durant l’été.