Amazon Web Services (AWS) continue de rencontrer des problèmes pour garantir que ses clients sécurisent leurs environnements cloud. Les erreurs de mauvaise configuration restent courantes et ont laissé beaucoup de données sensibles exposées. Des organisations comme Verizon, Booz Allen Hamilton, la WWE Foundation, Alteryx, la National Credit Federation américaine, l'Australian Broadcasting Corporation (ABC) et Accenture ont toutes laissé des informations exposées à cause d'erreurs de configuration. Ceci malgré les tentatives précédentes d'AWS pour améliorer la sécurité de ses services et réduire ces risques.
L'année dernière, la société a lancé Macie, un outil d'apprentissage automatique conçu pour détecter et protéger automatiquement les données sensibles stockées dans AWS, ainsi qu'une série de nouvelles fonctionnalités conçues pour améliorer la sécurité S3, notamment avec un chiffrement par défaut, des rapports d'inventaire détaillés et des contrôles des autorisations. En février dernier, quelques jours après que FedEx avait exposé plus de 100 000 documents – incluant des passeports, permis de conduire et dossiers clients – AWS a rendu son service S3 Bucket Permissions gratuit à tous les utilisateurs.
AWS Simple Storage Service (S3) est l'offre de stockage d'objets de la société. Selon Skyhigh Networks, 7% de toutes les instances S3 ont un accès public illimité, tandis que 35% ne sont pas cryptés. Parmi les exemples récents de données non protégées et exposées, citons les identifiants de connexion de plus d’un demi-million de dispositifs de suivi de véhicules, 200 millions de listes électorales américaines et des données sensibles appartenant à l’US Army Intelligence. En plus de voler des informations, les pirates informatiques ont verrouillé les données avec un ransomware et ont utilisé les ressources informatiques de l’institution pour miner des crypto-monnaies.
Des outils utilisés en interne
Zelkova et Tiros ont été créés par le groupe Automated Reasoning Group (ARG) d'AWS, qui développe des outils et des techniques de vérification pour les produits d'Amazon. Le raisonnement automatisé est une méthode de vérification formelle qui, pour faire court, prend le raisonnement sémantique et applique des formules mathématiques pour répondre à des questions spécifiques et vérifier que les politiques fonctionnent comme prévu. L'ARG fait partie de l'équipe de sécurité AWS et développe des outils en interne depuis plus de deux ans.
Annoncée pour la première fois en juin, Zelkova utilise un raisonnement automatisé pour analyser les politiques et les conséquences futures de ces politiques. Compatible avec les stratégies IAM (Identity and Access Management), S3 et les autres ressources de la société, il permet aux entreprises de créer des benchmarks les tenant informées des conséquences qu’engendrent leur stratégie actuelle. Par exemple, lorsqu'il est adossé à des stratégies S3, il peut vous informer si des utilisateurs non autorisés peuvent lire ou écrire dans votre instance. Tiros, de son côté, cartographie les connexions entre les réseaux. Par exemple, il peut indiquer s’il est possible ou non d'accéder à une des instances EC2 de la société via Internet.
Pas de date de lancement prévue
Les deux outils ont d’abord été utilisés en interne. Zelkova est utilisé dans le tableau de bord de S3 et dans AWS Macie. La société de gestion d’investissements Bridgewater Associates a été rapidement autorisée à les tester. « Bridgewater utilise Zelkova pour vérifier et garantir que nos politiques ne permettent pas l'exfiltration de données, les mauvaises configurations et de nombreux autres comportements indésirables, malveillants et accidentels » explique Dan Peebles, architecte en chef de la sécurité cloud chez Bridgewater Associates. « Zelkova permet à nos experts en sécurité d’encoder leur compréhension une fois pour toutes et de l’appliquer mécaniquement à toutes les stratégies pertinentes, en évitant les critiques humaines et lentes, tout en nous donnant une confiance élevée dans l’exactitude et la sécurité de nos stratégies IAM ».
Aucun des deux outils n'est actuellement disponible pour un lancement public. Bridgewater dit qu'ils sont dans un « état brut », pas particulièrement simples d’utilisation. Amazon a refusé de donner des informations sur une éventuelle disponibilité ou une tarification.
Créer des référentiels pour les contrôles de sécurité
Avec ces nouveaux outils, AWS cherche à réduire les risques d’erreur humaine et à réduire le risque de fuite de données. Mais vont-ils aider ? « Notre objectif de sécurité est d’arrêter l’exfiltration de données d’AWS », a déclaré l’architecte de la sécurité de Bridgewater Associates, Greg Frascadore, pendant une présentation autour de Zelkova et Toris lors du AWS New York Summit 2018. « Nous essayons d’obtenir une analyse formelle et une méthode pour vérifier que les contrôles de sécurité mis en place fonctionnent comme ils le devraient. »
Greg Frascadore a déclaré que les cas d'utilisation de ces outils incluent la vérification des contrôles de sécurité individuels, la création de référentiels pour les contrôles de sécurité, la localisation des contrôles pertinents dans une flotte de comptes donnée, l'automatisation de la vérification et le contrôle durant la phase de conception.