Cinq rgles d'or pour la scurit dans

le cloud AWS (Amazon Web Services)

Par Stephan Hadinger
Date de publication : 20 dcembre 2014

Cet article a t rdig par Stephan Hadinger, Sr Manager Solutions Architecture Amazon
Web Services.
Vous pouvez ragir par rapport cet article sur le forum : Commentez

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

I - Cinq rgles d'or pour la scurit dans le cloud AWS.............................................................................................3

I-A - Utilisez des comptes IAM adapts................................................................................................................ 3
I-B - Activez le MFA sur le compte racine.............................................................................................................4
I-C - Activez le service AWS CloudTrail................................................................................................................ 5
I-D - Activez le Versioning sur Amazon S3........................................................................................................... 5
I-E - Utilisez des rles Amazon EC2 IAM adapts................................................................................................6
II - Conclusion..............................................................................................................................................................7

-2-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

I - Cinq rgles d'or pour la scurit dans le cloud AWS

La perspective d'une migration de l'infrastructure informatique vers le cloud est de plus en plus sduisante pour de
nombreuses entreprises, encore faut-il pouvoir le faire en toute scurit. Il est donc essentiel de connaitre et mettre
en place les bonnes pratiques de la scurit afin de russir sa migration dans le cloud.
Le cloud d'AWS apporte aujourd'hui de nombreux bnfices comme une flexibilit la minute, une capacit sans
limites, des services hautement disponibles, des cots toujours plus bas, et un niveau de scurit trs lev intgrant
des certifications majeures comme ISO-27001, SOC-1/2/3 ou encore PCI DSS niveau 1.
Le modle de scurit d'Amazon Web Services est un modle de responsabilit partage, c'est--dire qu'AWS
assure la scurisation des couches basses (btiments, hyperviseurs, filtrage rseau) et les clients assurent la
scurit de leurs applications, donnes et OS. Les clients ont les droits administrateurs sur leurs machines virtuelles
ainsi qu'un contrle total et permanent des configurations de leurs ressources AWS : mots de passe utilisateurs et
administrateurs, droits d'accs associs, rgles de filtrage rseau - pour n'en citer que quelques-uns
Les clients ont pour ainsi dire les clefs de leur datacenters virtuels . Il est donc important de confier la gestion de
ces clefs des administrateurs de confiance, tout en auditant rgulirement leur utilisation. C'est pour cela que le
modle gnralement retenu par les clients AWS est celui du droit minimal et de la sparation des tches .
En clair : les administrateurs ont seulement les droits dont ils ont besoin et les oprations sensibles ncessitent des
droits rpartis entre plusieurs personnes.
Pour aller plus loin dans la scurisation des donnes, nous vous prsentons aujourd'hui cinq rgles d'or, simples et
applicables en moins de cinq minutes chacune, pour la scurit de votre compte AWS.

I-A - Utilisez des comptes IAM adapts

La cration d'un nouveau compte AWS se fait avec un login / mot de passe initial. Ce mot de passe donne accs
au compte dit racine qui a tous les droits sur le compte, y compris celui de le clore dfinitivement. L'utilisation
du compte racine doit donc rester exceptionnelle afin d'viter les manipulations hasardeuses qui peuvent impacter
tous les accs lis ce compte.
Pour crer des accs utilisateurs nominatifs pour l'ensemble de vos administrateurs, il est donc fortement conseill
d'utiliser AWS IAM (Identity and Access Management). Ce service permet de dlivrer chaque administrateur ses
propres identifiants, mots de passe et clefs d'accs aux API AWS, et donc de pouvoir conditionner les diffrents accs.
IAM propose un langage riche pour autoriser certaines actions sur certaines ressources particulires. Pour faciliter
la prise en main, il existe des rles prts l'emploi comme Administrateur ou Power User .

-3-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

Il est aussi essentiel de mettre en place un processus de gestion des cls en interne et de s'assurer qu'elles sont bien
gardes en lieu sr. Il est enfin conseill d'utiliser des cls diffrentes en fonction des applications, de les changer
rgulirement et de supprimer les cls qui ne sont plus utilises.

I-B - Activez le MFA sur le compte racine

Une fois les comptes AWS IAM crs, il est fortement conseill d'activer le mode MFA (Multi-Factor Authentication)
sur le compte racine. Il s'agit d'ajouter une tape dans l'authentification. En effet, pour s'y connecter, elle ncessitera,
en plus du login/mot de passe, un second mot de passe usage unique (OTP) - celui-ci est gnr soit par un token
physique Gemalto, soit par une application sur Smartphone. Ainsi, seul le possesseur du token ou du smartphone
pourra se connecter au compte racine.
Les tokens physiques Gemalto peuvent tre commands en ligne.
Cette opration est trs simple :
1
2
3
4
5
6
7

Se connecter au compte AWS avec le compte racine ;

Choisir le service AWS IAM ;
Cliquer sur Manage MFA Device ;
Choisir Virtual MFA Device ;
Scanner le QR code avec votre smartphone, puis saisir deux codes successifs dlivrs par l'application ;
Option : vous pouvez galement imprimer le QR code et garder la page au coffre. Elle permettra de rgnrer
l'application smartphone en cas d'effacement accidentel de l'application du smartphone ;
Dsormais la connexion au compte racine ncessitera un second mot de passe OTP.

-4-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

Le mode MFA pourra galement tre activ sur chaque accs de vos administrateurs.

I-C - Activez le service AWS CloudTrail

AWS CloudTrail est un service gratuit qui dpose dans votre rceptacle Amazon S3 (bucket) les journaux d'accs
aux API AWS - ces accs aux API proviennent de la console AWS ou d'appels directs aux API. Ces journaux sont
au format JSON et sont dlivrs environ toutes les cinq minutes.
En effet, en cas d'opration douteuse sur votre compte AWS, il est important de pouvoir consulter les journaux
d'accs. Il est donc essentiel d'activer au pralable ces journaux via le service AWS CloudTrail. Ce dernier est activ
indpendamment pour chaque rgion AWS (AWS CloudTrail est aujourd'hui disponible dans huit rgions).
L'activation se fait simplement via la console en slectionnant le service.

I-D - Activez le Versioning sur Amazon S3

Protgez durablement vos donnes : Amazon S3 est conu pour une durabilit de 99,999999999%. Cela signifie
que si vous stockez 10.000 objets dans Amazon S3, vous pourriez perdre en moyenne 1 objet toutes les 10 millions
d'annes. Cette durabilit est assure par un fort niveau de redondance des donnes dans des btiments spars.
ct de cette durabilit technique, le plus grand risque de perte de donnes est dsormais l'erreur humaine :
l'effacement accidentel d'une donne par un utilisateur ou un administrateur.
Heureusement, ce risque est prvu par Amazon S3 avec le service de versioning. Cette fonctionnalit peut tre
active indpendamment pour chaque bucket Amazon S3. Une fois active, Amazon S3 conservera tout l'historique
des objets stocks, qu'ils aient t modifis ou supprims. Cela permet de revenir facilement en arrire en cas d'erreur.
Le seul impact du versioning est que la facturation inclura le stockage de l'ensemble des versions antrieures des
objets, y compris les objets supprims. Pour modrer cet impact, il est possible de combiner le versioning avec le
Lifecycle Management. Ainsi pour chaque bucket Amazon S3 vous pouvez dcider d'archiver et/ou de supprimer
automatiquement les anciennes versions des objets au bout d'un certain nombre de jours.

-5-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

Exemple de paramtrage :

Versioning activ sur le bucket Amazon S3 ;

les versions courantes des objets sont stockes au cot Amazon S3 (soit $0,03/Go/mois en Europe) ;
les versions prcdentes des objets et les objets supprims :

sont stocks au cot Amazon S3 pendant 10 jours,

puis sont archivs dans Amazon Glacier (rduction de 60% des cots de stockage),
enfin sont supprims au bout de 120 jours.

I-E - Utilisez des rles Amazon EC2 IAM adapts

De nombreux dveloppeurs aiment partager sur Internet les scripts qu'ils ont dvelopps - par exemple sur
Github. Dans certains cas, ces dveloppeurs publient accidentellement leurs clefs d'API AWS et donnent un accs
involontaire leur compte AWS. AWS scrute en permanence ces sites de partage de code afin de prvenir ces
dveloppeurs de leur publication accidentelle et leur donner les procdures suivre.
Afin de rduire ce risque, il est important de ne jamais mettre des clefs d'accs AWS en dur dans des scripts
ou des applications. Pour les scripts et applications s'excutant dans Amazon EC2, il existe un moyen simple de
gnrer automatiquement des clefs d'accs aux API AWS sans jamais mettre de clefs en dur dans les scripts :
il s'agit des rles EC2 .
Le service AWS IAM permet de dfinir une notion de rle c'est--dire de droits d'accs aux API AWS pour une
application. Au lancement d'une instance Amazon EC2, on peut choisir quel rle associer cette instance. Ainsi AWS
IAM va gnrer automatiquement des clefs ayant les droits correspondant ce rle, ces clefs tant diffrentes pour
chaque instance Amazon EC2. Ces clefs ont une dure de vie limite et leur rotation a lieu plusieurs fois par jour.
Les SDK fournis par AWS utilisent automatiquement et de manire transparente ces clefs temporaires.
Exemples d'utilisation :

autoriser l'application lire/crire dans Amazon DynamoDB - base de donnes NoSQL opre par AWS ;
autoriser l'application lire un bucket Amazon S3 pour rcuprer les dernires mises jour ;
autoriser l'application faire des snapshots de ces volumes disques EBS - c'est particulirement utile pour les
bases de donnes afin de raliser les snapshots quand les disques sont dans un tat cohrent ;
-6-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

autoriser l'application publier des mtriques applicatives dans AWS CloudWatch.

Les clefs associes au rle EC2 sont obtenues via le serveur de mta-donnes de l'instance
(http://169.254.169.254), il est important de ne pas associer de rle sur des serveurs partags
par plusieurs utilisateurs, car chaque utilisateur aura potentiellement accs ces clefs.

Par extension, il est recommand de penser crer des rles IAM et des accs temporaires si :

vous disposez d'une application ou des scripts CLI sur Amazon EC2 ;
vous devez accorder l'accs inter-comptes ;
vous avez une application mobile ;
vous souhaitez faire une fdration d'identit avec un annuaire d'entreprise comme Microsoft Active Directory
via le protocole SAML v2 ;
votre organisation dispose d'un systme d'authentification sur site.

II - Conclusion
La scurit est une priorit de tous les instants, les rgles vues ci-dessus sont utiles et faciles mettre en uvre. Il
existe de nombreuses autres bonnes pratiques mettre en place - certaines sont propres au cloud mais la plupart
sont communes avec l'informatique sur site. Dans tous les cas, n'hsitez pas contacter les quipes AWS pour plus
d'informations ou des conseils personnaliss.
Vous pouvez ragir par rapport cet article sur le forum : Commentez

-7-

Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,
images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/