AWS : un serveur de rebond managé pour administrer ses instances EC2

Lors de sa conférence annuelle sur la sécurité re:Inforce, AWS a présenté de nouvelles façons pour les clients de se connecter de manière sécurisée à leurs instances EC2.

Le fournisseur de services cloud a dévoilé mardi l’EC2 Instance Connect Endpoint (EIC Endpoint), qui permet aux utilisateurs de se connecter à leurs ressources cloud sans avoir besoin d’adresses IP publiques. Cette nouvelle offre permet d’établir des connexions SSH et RDP vers des instances EC2 depuis, par exemple, un sous-réseau privé.

Lors du discours d’ouverture de la conférence re:Inforce, Becky Weiss, ingénieure principale chez AWS, a expliqué comment la nouvelle offre améliore EC2 Instance Connect, introduit pour la première fois en 2019 et qui a donné aux clients la possibilité de se connecter à leurs instances avec SSH.

« Mais jusqu’à présent, cela signifiait toujours qu’il était nécessaire d’avoir accès au réseau de cette instance EC2, soit directement via une adresse IP publique, soit par le biais d’un hôte de bastion que vous êtes responsable de patcher, de maintenir et de sécuriser », a relevé Becky Weiss lors de la présentation.

EIC Endpoint élimine le besoin d’un hôte EC2 accessible depuis Internet et supprime les coûts additionnels induits par les hôtes bastion. De plus, les clients peuvent profiter des contrôles d’AWS Identity and Access Management (IAM) pour ces connexions privées.

« EC2 Instance Connect Endpoint améliore également votre posture de sécurité en s’appuyant sur [AWS] IAM pour une authentification et une autorisation fortes des connexions avant qu’elles n’atteignent vos instances EC2 », a estimé Becky Weiss, ajoutant que les connexions sont enregistrées dans AWS CloudTrail et sont entièrement auditables.

Neil MacDonald, vice-président et analyste distingué chez Gartner, estime que la meilleure façon de penser à EIC Endpoint est de le considérer comme un bastion hébergé administré en mode service : « ainsi, AWS propose un service hautement disponible et toujours opérationnel/mis à jour pour permettre à ses clients d’accéder à leurs instances EC2 et les administrer. Au lieu que le client doive configurer ce serveur de rebond lui-même, AWS le propose en tant que service cloud », analyse Neil MacDonald. Pour lui, « c’est une fonctionnalité utile, mais elle pourrait être améliorée avec l’enregistrement de session intégré à des fins d’audit ».

AWS a également lancé Verified Permissions, un service de sécurité dévoilé pour la première fois fin 2022, qui offre une gestion fine des autorisations et des permissions pour les applications construites par les clients. Becky Weiss a déclaré que l’un des sujets les plus courants discutés par les clients avec AWS est la construction de systèmes d’autorisation pour les ressources au sein de leurs propres applications. Car, « la construction de ces systèmes peut prendre des mois et étant donné qu’ils ont tendance à être spécifiques à un cas d’utilisation, étendre cet effort à un grand nombre d’applications est également un peu difficile ».

 « Cette approche est beaucoup plus sécurisée, évolutive et gérable à long terme que si chaque développeur codait directement les autorisations dans son application. La limitation est que les applications sont déployées dans AWS. »

Verified Permissions permet de contourner le problème en créant des politiques d’autorisation et en définissant des permissions en utilisant Cedar, un langage open source pour le contrôle d’accès développé par AWS. Becky Weiss indique que le service est conçu pour vérifier et appliquer automatiquement les permissions.

Pour Neil MacDonald, « cette approche est beaucoup plus sécurisée, évolutive et gérable à long terme que si chaque développeur codait directement les autorisations dans son application. Bien sûr, la limitation est que les applications sont déployées dans AWS ».

Jack Poller, analyste principal chez Enterprise Strategy Group de TechTarget, estime pour sa part que Verified Permissions donne aux clients la capacité de dissocier et d’extraire de leurs applications le processus d’autorisation et le code associé, permettant aux développeurs d’ajouter rapidement des autorisations à ces applications sans avoir à développer de code supplémentaire : « la combinaison de Verified Permissions et Cedar permet aux développeurs de se concentrer sur le volet fonctionnel de leurs applications sans avoir à devenir des spécialistes de l’authentification et de l’autorisation. Pendant ce temps, d’autres parties intéressées – les utilisateurs métiers, les équipes de sécurité et les équipes DevSecOps – peuvent définir des politiques à granularité fine en utilisant un langage commun à toutes les applications Amazon », a déclaré Poller. « Et comme Cedar est open source, le désir est qu’il devienne la langue commune pour décrire les politiques d’accès à granularité fine pour chaque application ».

Les autorisations vérifiées sont disponibles dans toutes les régions commerciales d’AWS, sauf en Chine. EIC Endpoint est disponible sans frais supplémentaires dans toutes les régions commerciales AWS et les régions GovCloud aux États-Unis.