Les fournisseurs de cloud comme Amazon Web Services (AWS) proposent une très bonne visibilité sur les appels d’API effectués par les différents utilisateurs d’un compte grâce à des services comme CloudTrail [1]. Malheureusement, cette introspection s’arrête généralement à l’adresse IP de la machine qui a effectué l’appel, ne permettant pas de différencier un appel légitime des conséquences d’une attaque SSRF (Server-Side Request Forgery) [13] ou autre compromission.
CloudTrail [1] est l’un des services de sécurité les plus connus d’AWS : il permet de générer un log d’audit pour chaque action effectuée par un utilisateur. Les logs CloudTrail contiennent de nombreuses informations allant du type d’opération aux différentes ressources touchées, incluant l'adresse IP de la machine d'où la requête provient ainsi que les identifiants utilisés. Toutes ces informations permettent d’identifier rapidement un acteur malveillant en détectant par exemple des opérations sensibles qui ne devraient pas avoir lieu en production (telle que l’ouverture au monde d’un AWS Security Group [3] ou d’un objet enregistré sur AWS Simple Storage Service [4]). Malheureusement, avec l’utilisation croissante d’infrastructures en microservices comme Kubernetes, une adresse IP privée peut en réalité être associée à de nombreux services indépendants. Dans cet article, nous étudierons comment le modèle de sécurité d’AWS fonctionne,...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
