Dans l'univers du cloud computing, AWS met à disposition un réservoir quasi illimité de ressources, du déploiement d'instances et de bases de données à l'utilisation de Managed Services. Mais à grand pouvoir, grandes responsabilités. Protéger son compte AWS contre les accès non autorisés est essentiel.
Vous devez vous assurer que seules les personnes autorisées au sein de votre équipe ou de votre organisation utilisent les ressources que vous payez.
L'une des principales causes de compromission d'un compte AWS reste l'exposition d'une clé d'accès dans un espace public, comme GitHub. Il est donc indispensable de définir très tôt une stratégie de protection de vos comptes AWS et de mettre en place des mécanismes capables de détecter rapidement toute compromission.
Cet article vous guide dans l'investigation d'un compte AWS potentiellement compromis et présente les bonnes pratiques pour le sécuriser.
Enquêter sur un compte AWS compromis
Si vous soupçonnez une compromission de votre compte AWS, voici les étapes à suivre pour mener l'enquête :
- Surveillez l'utilisation inattendue des ressources : gardez un œil sur vos ressources AWS et leurs schémas d'utilisation. Un pic soudain de transfert de données ou une hausse inhabituelle des opérations peut signaler un problème. AWS propose plusieurs outils, comme AWS Trusted Advisor et AWS Cost Explorer, pour suivre votre consommation.
- Examinez votre facture : une hausse soudaine de votre facture AWS peut trahir une utilisation non autorisée des ressources. Passez votre facture en revue pour repérer toute variation significative et examinez les frais par service depuis votre billing dashboard. Ce dashboard permet d'analyser les coûts par service et d'identifier rapidement toute évolution suspecte susceptible d'indiquer un usage frauduleux.
- IAM Access Analyzer : exploitez AWS IAM Access Analyzer pour passer au crible l'activité des utilisateurs IAM. Supprimez les utilisateurs IAM inutilisés et passez en revue les rôles IAM partagés avec des entités externes. Surveillez également les dates de changement de mot de passe pour préserver une bonne hygiène de sécurité.
- Rapport d'identifiants IAM : consultez régulièrement le rapport d'identifiants IAM pour repérer les nouveaux utilisateurs, les mots de passe modifiés et les dernières dates et heures d'utilisation. Identifiez toute activité inattendue et agissez immédiatement pour la corriger et approfondir l'investigation.
- Vérifiez CloudTrail : pour enquêter sur une éventuelle compromission, utilisez AWS CloudTrail. Ce service enregistre l'activité de votre environnement AWS et conserve les journaux pendant 30 jours. La recherche par défaut affiche les événements non read-only, c'est-à-dire les actions ayant modifié vos ressources. Cherchez des connexions inhabituelles, des événements assume role inattendus, des activités de reconnaissance (comme des appels d'API atypiques) et tout autre comportement anormal. Examinez vos journaux AWS CloudTrail à la recherche d'accès non autorisés ou d'activités d'API suspectes. AWS journalise chaque connexion à l'AWS Management Console. Passez en revue les journaux CloudTrail pour repérer les connexions que vous ne reconnaissez pas. Cherchez les événements survenus à des heures inhabituelles ou depuis des adresses IP inconnues. Connaître vos schémas d'usage habituels vous aidera à détecter les anomalies trahissant une compromission.
- Examinez les politiques et rôles IAM :
Vérifiez vos politiques et rôles IAM pour vous assurer qu'ils n'ont pas été modifiés. Des changements inattendus peuvent indiquer qu'un attaquant a obtenu l'accès à votre compte. 7. Consultez AWS Security Hub :
AWS Security Hub offre une vue d'ensemble de vos alertes et de votre posture de sécurité sur l'ensemble de vos comptes AWS. Il vous aide à repérer les problèmes de sécurité potentiels.
Sécuriser votre compte AWS
Une fois l'enquête terminée, place à la sécurisation du compte. Voici les étapes à mettre en œuvre :
Établissez un plan de réponse aux incidents : élaborez et mettez régulièrement à jour un plan de réponse aux incidents adapté à AWS. Veillez à ce que vos Engineers soient formés pour réagir rapidement à tout incident de sécurité et à collaborer avec AWS Support si nécessaire.
Modifiez le mot de passe de l'utilisateur racine du compte AWS : il s'agit d'une étape cruciale pour sécuriser votre compte. Changez immédiatement le mot de passe de l'utilisateur racine afin de renforcer la sécurité et d'empêcher tout accès non autorisé.
Faites tourner et supprimez les clés d'accès : renouvelez et supprimez régulièrement les clés d'accès racine et IAM pour limiter le risque d'accès non autorisé via des identifiants compromis.
Supprimez les ressources indésirables : passez régulièrement en revue et supprimez les ressources que vous n'avez pas créées afin de réduire la surface d'attaque et les points de compromission potentiels.
Révoquez les sessions actives : révoquez les identifiants temporaires des rôles IAM. Veillez à ce que toutes les sessions actives soient révoquées afin d'invalider les identifiants temporaires des sessions précédentes. Cette étape est essentielle pour empêcher tout accès non autorisé.
Créez un alias de compte : personnalisez votre identifiant de compte avec un alias pour gagner en sécurité et en simplicité d'utilisation. Évitez d'afficher publiquement votre identifiant de compte et partagez plutôt le lien d'alias.
Activez l'authentification multifacteur (MFA) : mettez en place la MFA sur tous les comptes pour ajouter une couche de sécurité supplémentaire. Les utilisateurs doivent être invités à valider la MFA à chaque connexion, ce qui renforce la sécurité de l'authentification.
Politique de mots de passe : instaurez une politique de mots de passe robuste : au moins 10 caractères, expiration au bout de 90 jours et interdiction de réutiliser un ancien mot de passe.
Configurez des alarmes AWS CloudWatch : AWS CloudWatch permet de définir des alarmes sur des événements ou seuils précis. Mettez en place des alarmes sur les activités susceptibles de signaler une compromission : tentatives de connexion infructueuses répétées, modifications de la configuration des security groups, etc.
Alertes de facturation et AWS Cost Anomaly Detection : définissez des budgets et des alertes de facturation pour suivre et maîtriser vos dépenses. Activez également AWS Cost Anomaly Detection pour repérer les dépenses inattendues et anormales grâce au machine learning.
Créez un compte IAM administrateur : évitez d'utiliser le compte racine au quotidien. Créez à la place un compte IAM doté de privilèges administrateurs, ce qui vous permettra de mettre le compte racine sous clé en toute sécurité.
Activez AWS GuardDuty :
AWS GuardDuty est un service de détection des menaces qui surveille en continu les comportements malveillants ou non autorisés. Il vous aide à repérer les appels d'API inhabituels ou les déploiements potentiellement frauduleux qui signalent une compromission de compte.
IAM Policy Validator for AWS CloudFormation. Cet outil open-source en ligne de commande, également connu sous le nom de cfn-policy-validator, est un atout puissant qui analyse les politiques IAM d'un template CloudFormation à l'aide d'IAM Access Analyzer.
Il est conçu pour s'intégrer naturellement dans votre pipeline CI/CD et bloquer le déploiement s'il détecte un problème dans les politiques IAM.
En l'intégrant à votre stratégie de sécurité, vous vous assurez que toute modification des politiques IAM est rigoureusement validée avant déploiement, ce qui renforce nettement la sécurité de votre compte AWS.
Exploitez les règles AWS Config : AWS Config permet de définir des règles pour faire respecter vos standards de conformité et de sécurité. Créez des règles personnalisées pour surveiller des activités spécifiques pouvant trahir une compromission : modification de configurations réseau, création de nouveaux utilisateurs IAM, etc.
Activez les VPC Flow Logs : les Virtual Private Cloud (VPC) Flow Logs capturent les informations sur le trafic entrant et sortant de votre VPC. Analysez ces journaux pour détecter tout schéma inhabituel : trafic vers des adresses IP inconnues ou pics inattendus de transfert de données.
Recherchez régulièrement les vulnérabilités : menez des évaluations de vulnérabilités régulières sur vos ressources AWS à l'aide d'outils comme AWS Inspector ou de solutions tierces. Corrigez rapidement les vulnérabilités identifiées pour réduire le risque d'exploitation par des acteurs malveillants.
Évaluation de sécurité DoiT
Cet article propose un tour d'horizon rapide pour sécuriser votre compte AWS. Mais souvenez-vous : la sécurité n'est jamais une affaire ponctuelle.
Chez DoiT International, nos experts en sécurité AWS proposent une évaluation globale de votre posture de sécurité AWS, qui examine en profondeur l'ensemble de votre organisation AWS. Cette évaluation s'appuie sur les meilleures pratiques du secteur et exécute environ 300 vérifications sur vos ressources AWS pour garantir des configurations optimales. Nous nous appuyons sur 27 des principaux benchmarks de sécurité du marché afin de fournir une analyse complète et rigoureuse.
Notre objectif : vous aider à identifier les vulnérabilités potentielles et vous livrer des recommandations concrètes pour renforcer votre posture de sécurité AWS. Faites confiance à l'expertise de nos professionnels de la sécurité AWS pour maintenir le plus haut niveau de protection sur votre environnement AWS.
Vous souhaitez en savoir plus ou êtes intéressé par nos services ? N'hésitez pas à nous contacter ici.
Sécuriser votre compte AWS exige une approche proactive : enquêter sur les compromissions potentielles et déployer des mesures de sécurité robustes. Une surveillance régulière, une gestion IAM rigoureuse et le respect des bonnes pratiques consolideront votre environnement AWS et vous offriront une défense solide contre les accès non autorisés et les menaces potentielles. En suivant ces recommandations, vous évoluerez sereinement dans le paysage de la sécurité AWS, tout en garantissant l'intégrité et la confidentialité de vos ressources dans le cloud.