Wiz
Tous les articlesCloudSec

CSPM sur AWS

Équipe d'experts Wiz
Download AWS Cheat SheetsTry Wiz CSPM

La gestion de la posture de sécurité cloud (CSPM), un terme popularisé par Gartner en 2021, est une approche cloud-first conçue pour surveiller, identifier et atténuer automatiquement les risques de sécurité dans l'environnement cloud.

Tous les grands fournisseurs de cloud public ont adopté la stratégie CSPM comme approche proactive pour renforcer la sécurité. Ces pratiques aident les clients à gérer leur part du modèle de responsabilité partagée grâce à des outils et à des fonctionnalités permettant de surveiller en continu et d'améliorer la sécurité de leurs applications et de leurs données dans le cloud.

Figure 1: AWS security across the shared responsibility model

Dans cet article, nous passons en revue les écueils typiques de la sécurité cloud et la manière dont AWS s'appuie sur des solutions CSPM pour gérer ces complexités et ces défis, du suivi de conformité en temps réel jusqu'à l'évaluation fine des risques.

Couverture complète de l’ensemble de la stack de vos workloads AWS, sans agent, en quelques minutes

Découvrez pourquoi les RSSI des entreprises à la croissance la plus rapide choisissent Wiz pour sécuriser leurs environnements AWS.

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.

Erreurs de configuration courantes dans les environnements AWS

Le modèle de responsabilité partagée repose sur l'idée que les clients assument la responsabilité pleine ou partagée de la sécurité selon les offres de service, tandis que le fournisseur sécurise l'infrastructure. Dès 2021, Deloitte soulignait que les erreurs de configuration constituent une cause majeure des incidents de sécurité cloud, avec en moyenne 3 500 incidents par mois.

Un rapport plus récent met en lumière les risques associés aux erreurs de configuration ignorées et l'importance de connaître les erreurs courantes grâce aux outils de CSPM.

Quelles erreurs de configuration typiques observe-t-on aujourd'hui sur AWS ? Elles se répartissent en trois catégories : stockage, calcul et gestion des identités et des accès (IAM). Voyons cela de plus près.

Erreurs de configuration de stockage

Amazon S3 est une solution de stockage d'objets très scalable et sécurisée au sein d'AWS, compatible avec de nombreux types d'applications. Étant donné la quantité croissante de données critiques gérées par les entreprises, il appartient à la fois aux fournisseurs cloud et aux clients d'assurer correctement la sécurité du stockage.

Malheureusement, on observe encore des incidents comme celui du géant de la logistique D.W. Morgan, qui a exposé 2,5 millions de fichiers contenant 3 To de données sensibles sur des employés d'aéroport en Colombie et au Pérou. C'est un parfait exemple des dégâts qu'une simple erreur de configuration S3 peut provoquer :

  • Accès public à un bucket : par défaut, les buckets S3 sont privés, mais ils peuvent être configurés pour autoriser un accès public — intentionnellement ou non, par exemple via des politiques de bucket ou des listes de contrôle d'accès (ACL).

  • Stockage non chiffré : S3 prend en charge le chiffrement côté serveur (SSE) et le chiffrement côté client (CSE), mais il faut les configurer correctement. Si vous n'activez pas le chiffrement des données au repos, des accès non autorisés peuvent survenir, entraînant une compromission des données.

  • Journalisation d'accès désactivée : la journalisation des accès S3 est désactivée par défaut. Activez-la ! Conserver ces logs d'accès aide à détecter et à retracer des actes malveillants.

Remarque : Stocker les logs accumulés nécessite un bucket cible, ce qui peut engendrer des coûts supplémentaires ; prévoyez également un mécanisme de suppression des logs.

  • Versioning désactivé : pour accélérer la récupération après des suppressions accidentelles ou des erreurs applicatives, conservez plusieurs versions d'un objet dans le même bucket. Activez donc le versioning S3.

  • Fonction Object Lock désactivée : S3 Object Lock stocke les données en mode WORM (Write Once, Read Many) et aide à prévenir la suppression accidentelle. Là encore, activez-la.

  • Politiques de bucket et ACL incorrectes : des permissions inappropriées permettent à des tiers non autorisés, voire à d'autres comptes AWS, d'accéder à vos données stockées, avec des risques de manipulation, de violation ou de perte de données.

Remarque : La documentation AWS recommande de désactiver les ACL afin que le propriétaire du bucket conserve la propriété de tous les objets et contrôle l'accès aux données via des politiques de gestion des accès.

AWS Security Foundations For Dummies

Tout ce que vous devez savoir pour protéger votre environnement AWS

Telecharger PDF

Erreurs de configuration des ressources de calcul

AWS propose des services de calcul puissants comme EC2, Lambda et Elastic Load Balancing (ELB). Les développeurs du monde entier s'en servent pour exécuter des applications, ce qui en fait une cible privilégiée pour les attaquants.

Prenons EC2. Rien ne rappelle mieux l'importance d'éviter les erreurs de configuration EC2 que la violation de données Capital One, qui a exposé les données personnelles de 100 millions de personnes, ou la violation de données T‑Mobile, au cours de laquelle des pirates ont dérobé les informations personnelles de plus de 50 millions de clients.

Figure 2: Capital One data breach (Adapted from the journal “ACM Transactions on Privacy and Security”)

Parmi les erreurs de configuration EC2 les plus courantes :

  • Mauvaise configuration des rôles IAM : les rôles IAM pour les instances EC2 leur octroient des permissions pour accéder à d'autres ressources AWS. Problème : des rôles trop permissifs ou des politiques mal configurées peuvent accorder plus de privilèges que nécessaire (voir Figure 2).

  • Snapshots publics, partagés ou non chiffrés : les snapshots EC2 servent de sauvegardes de données. Ils sont privés par défaut, mais des problèmes de sécurité surviennent lorsqu'ils sont rendus publics ou partagés sans chiffrement.

  • Paires de clés EC2 par défaut : les paires de clés EC2 servent à l'authentification SSH. C'est très pratique, mais s'appuyer sur des paires par défaut ou largement partagées expose les instances à des accès SSH non autorisés.

  • Amazon Machine Images (AMI) publiques et non chiffrées : si une AMI créée pour EC2 contient des volumes non chiffrés ou si elle est rendue publique, elle peut exposer des données sensibles.

Erreurs de configuration IAM (Identity and Access Management)

L'IAM concerne la gestion correcte des utilisateurs, des groupes et des rôles, y compris la définition des politiques qui déterminent quelles autorisations sont accordées à quels services et ressources AWS.

Un rapport de Microsoft a récemment révélé que plus de 70 % des identités disposant d'autorisations étaient inactives, c'est-à-dire qu'elles n'avaient utilisé aucune de leurs permissions au cours des 90 derniers jours. Cet angle mort offre aux acteurs malveillants des vecteurs d'attaque faciles, exploitables via des identités dont les permissions sont mal configurées.

Figure 3: Cloud permissions gap

Quels types d'erreurs IAM rencontre-t-on le plus souvent ?

  • Permissions excessives : si un compte doté de permissions étendues est compromis, l'impact sera bien plus grave. D'où l'importance du principe du moindre privilège (PoLP).

  • Identifiants inutilisés ou obsolètes : des identifiants qui ne sont plus utilisés, comme des clés d'accès d'anciens employés ou des rôles devenus inutiles, constituent un risque. Pensez à les révoquer.

  • Permissions accordées directement sans utiliser de rôles : ce qui est possible n'est pas forcément souhaitable. Attribuer des permissions directement à des utilisateurs via des politiques attachées conduit à des configurations complexes et difficiles à gérer.

  • Absence d'authentification multifacteur (MFA) : les administrateurs peuvent la négliger par précipitation ou par oubli : dans les deux cas, c'est risqué. Imposez la MFA pour tous les utilisateurs IAM via des politiques IAM.

Réduire les erreurs IAM avec AWS IAM Access Analyzer

AWS IAM Access Analyzer offre un moyen efficace d'identifier et de réduire les accès externes accordés à des ressources. Ainsi, en analysant les politiques d'autorisations, il détecte les ressources comme les buckets S3, les rôles IAM et les clés KMS partagées en dehors de votre compte AWS et les signale pour examen.

  • Identifier les accès accordés involontairement : IAM Access Analyzer analyse vos politiques de ressources et met en évidence toute configuration octroyant un accès externe, pour une remédiation rapide.

  • Validation proactive des politiques : utilisez IAM Access Analyzer pour valider des politiques nouvelles ou existantes avant leur application. Vous vous assurez ainsi qu'elles respectent les bonnes pratiques de sécurité et évitent des accès trop permissifs.

  • Informations pour l'assainissement : l'outil met en avant des rôles inactifs et des permissions non utilisées, afin de nettoyer les configurations obsolètes et d'aligner les autorisations sur le principe du moindre privilège.

Exemple d'usage :

Si un bucket S3 est partagé avec le public ou avec des comptes externes, IAM Access Analyzer détectera le problème et proposera des recommandations de modification des politiques. Par exemple, il pourra suggérer de supprimer des instructions "Allow" d'accès public dans la politique du bucket ou de les remplacer par des permissions explicites au niveau des utilisateurs.

À retenir : Les erreurs de configuration présentées ici sont souvent exploitées par des acteurs malveillants pour compromettre des environnements AWS, mais ce ne sont pas les seules vulnérabilités à surveiller. En effet, les paramètres réseau et la configuration des fonctions serverless exigent également une surveillance attentive et l'application de bonnes pratiques.

Bonnes pratiques de sécurité AWS

Cette fiche pratique va au-delà des bonnes pratiques essentielles de sécurité AWS et propose des mises en œuvre concrètes, étape par étape, des extraits de code pertinents et des recommandations de référence du secteur pour renforcer votre posture de sécurité AWS.

Download Cheat Sheet

Conformité et AWS Security Hub

En matière de normes de conformité, AWS prend en charge PCI-DSS, HIPAA, FedRAMP, RGPD, FIPS 140-2, NIST 800-171 et bien d'autres. Les entreprises savent qu'elles doivent respecter ces exigences légales et réglementaires, mais la conformité ne garantit pas à elle seule une protection contre tous les risques potentiels.

Les erreurs de configuration cloud sont une cause majeure de violations de conformité. Le modèle de responsabilité partagée du cloud implique des couches supplémentaires de supervision et de gestion, souvent assurées grâce à la gestion de la posture de sécurité cloud (CSPM).

Les solutions CSPM automatisées d'AWS vous aident à naviguer dans les complexités du suivi, de l'identification et de l'atténuation des erreurs de configuration et des risques de sécurité. Comment ? Grâce à plusieurs outils de l'arsenal AWS :

  • AWS Security Hub : évite la fragmentation des données issue de multiples outils de sécurité en agrégeant, en organisant et en priorisant les constatations de sécurité provenant des autres services AWS listés ici.

  • AWS Config : suit et consigne les configurations des ressources AWS, et automatise la comparaison de ces configurations enregistrées avec l'état désiré.

  • Amazon GuardDuty : analyse en continu les actions malveillantes et les activités non autorisées à l'aide de l'apprentissage automatique et de la détection d'anomalies pour identifier des comportements inhabituels ou non autorisés.

  • AWS IAM Access Analyzer : aide à garantir que seuls les accès externes nécessaires et voulus sont autorisés (par exemple, buckets S3, rôles IAM), réduisant les risques inutiles.

  • AWS CloudTrail : fournit des capacités de gouvernance, de conformité et d'audit sur l'ensemble de vos services AWS.

  • Amazon Inspector : analyse vos applications pour détecter des vulnérabilités, des expositions et des écarts aux bonnes pratiques.

  • AWS Trusted Advisor : vous guide en temps réel sur le dimensionnement et le provisionnement des ressources.

  • AWS Audit Manager : automatise l'audit de votre usage d'AWS afin de faciliter l'évaluation des risques et de la conformité aux réglementations et aux standards du secteur.

Architecture CSPM d'AWS

L'architecture de la CSPM sur AWS propose une approche complète de la sécurité cloud, fondée sur un workflow intégré. Le système commence par la collecte et la surveillance des données, issues à la fois des services de sécurité AWS et de solutions tierces comme Wiz.

Ces partenaires élargissent la portée d'AWS Security Hub avec des capacités supplémentaires d'analyse et de supervision. Par exemple, Wiz peut détecter des erreurs de configuration et des vulnérabilités à travers l'ensemble de votre pile cloud, y compris des zones que les outils natifs AWS couvrent moins, comme des applications tierces et des environnements multi-cloud.

Au cœur de la stratégie CSPM d'AWS se trouve AWS Security Hub. Ainsi, il agrège des données provenant de multiples sources — services AWS natifs, outils tiers et AWS Detective pour des investigations plus approfondies. Ce hub central simplifie l'analyse de la sécurité et de la conformité sur l'ensemble de votre environnement AWS. Résultat : une supervision et une gestion considérablement facilitées.

Décomposer un incident de sécurité avec l'architecture CSPM d'AWS

La réponse rapide et automatisée d'AWS CSPM aux incidents de sécurité est multiforme :

  • AWS Lambda réagit aux constatations de Security Hub en exécutant des scripts qui ajustent automatiquement des configurations ou des permissions pour réduire les risques.

  • AWS Detective enrichit ces capacités avec des données supplémentaires sur les activités ayant précédé et entourant l'incident.

  • AWS Systems Manager fournit les outils nécessaires pour gérer les ressources de manière optimale et assurer la conformité à grande échelle.

  • AWS Audit Manager collecte automatiquement toutes les preuves requises auprès de vos services de sécurité AWS pour démontrer la conformité et faciliter les audits.

  • AWS Lake Formation et Amazon S3 organisent et stockent l'ensemble de vos données de sécurité et de conformité pour l'analyse et la rétention de long terme.

  • Amazon QuickSight transforme les constatations de Security Hub en tableaux de bord et en rapports afin d'offrir aux parties prenantes une vision complète de leur posture de sécurité et de conformité.

  • Amazon CloudWatch et AWS SNS garantissent l'envoi d'alertes en temps réel à vos équipes de sécurité lors d'incidents critiques ou de changements de conformité.

Comment Wiz sécurise vos environnements AWS

Wiz renforce la sécurité des environnements Amazon Web Services (AWS), y compris des pipelines d'IA développés avec Amazon SageMaker, grâce à une visibilité complète, à l'évaluation des risques et à des stratégies proactives de remédiation.

Sécuriser les environnements AWS :

  • Intégration avec les services AWS : Wiz s'intègre de manière fluide aux services de sécurité natifs AWS tels qu'Amazon GuardDuty, AWS Security Hub, AWS CloudTrail et AWS Access Advisor. Cette intégration permet une visibilité unifiée et une gestion centralisée des constatations de sécurité sur les ressources AWS, facilitant des workflows de remédiation efficaces.

  • Visibilité agentless : en se connectant aux environnements AWS sans agents, Wiz fournit aux organisations une vision complète de leur empreinte cloud. Cette approche permet d'identifier et de prioriser des risques, notamment des erreurs de configuration, des vulnérabilités et des chemins d'attaque potentiels.

  • Priorisation des risques et remédiation : en s'appuyant sur l'apprentissage automatique, Wiz évalue et priorise les risques pour aider vos équipes de sécurité à se concentrer sur les problèmes les plus critiques. La plateforme fournit des recommandations de remédiation actionnables pour corriger efficacement les vulnérabilités identifiées.

Sécuriser les pipelines d'IA avec Amazon SageMaker :

Surveillance des ressources SageMaker : Wiz offre une visibilité sur les ressources SageMaker, notamment les notebooks, les jobs d'entraînement et les endpoints. La solution surveille les configurations et les contrôles d'accès pour détecter des risques de sécurité, comme une accessibilité publique ou des permissions excessives.

Protection des données : en analysant les flux de données au sein de SageMaker, Wiz identifie des données sensibles et s'assure qu'elles sont correctement protégées. Cela inclut la détection de fuites de données ou d'accès non autorisés aux datasets utilisés pour l'entraînement des modèles.

Analyse des chemins d'attaque : le Security Graph de Wiz visualise des chemins d'attaque potentiels vers des ressources SageMaker, aidant les organisations à comprendre et à atténuer des risques pouvant conduire à des fuites de données ou à la compromission de modèles.

En s'intégrant aux services AWS et en offrant des fonctionnalités de sécurité spécialisées pour Amazon SageMaker, Wiz permet aux organisations de concevoir et d'exploiter en toute sécurité dans le cloud, en protégeant à la fois leurs environnements AWS et leurs pipelines d'IA contre des menaces en constante évolution.

Vous souhaitez voir par vous-même comment Wiz peut protéger tout ce que vous construisez et exécutez dans le cloud ? Planifiez une démo gratuite dès aujourd'hui.

Couverture complète de l’ensemble de la stack de vos workloads AWS, sans agent, en quelques minutes

Découvrez pourquoi les RSSI des entreprises à la croissance la plus rapide choisissent Wiz pour sécuriser leurs environnements AWS.

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.