Re:Inforce 2022 : AWS appelle à accélérer l’adoption d’authentification multifactorielle
Face à la croissance des surfaces d’attaque exposées, les dirigeants d’AWS ont souligné l’importance de la mise en œuvre de l’authentification à facteurs multiples pour protéger les comptes et l’accès aux ressources en mode cloud.
Les dirigeants d’Amazon ont exhorté les entreprises à adopter l’authentification multifactorielle (MFA) pour mieux protéger les comptes alors que les surfaces d’attaque en mode cloud ne cessent de s’étendre.
À l’occasion de la session d’ouverture de l’édition 2022 de la conférence re:Inforce, qui se déroule actuellement à Boston, Steve Schmidt, CSO d’Amazon, et Kurt Kufeld, vice-président en charge de la plateforme AWS, ont discuté passage à l’acte, notamment l’activation de l’authentification à facteurs multiples et le blocage de l’accès public, aux côtés de nouvelles initiatives, telles que la distribution de clés de sécurité gratuites, en soutien à cet appel. Les intervenants ont souligné l’importance du contrôle d’accès pour sécuriser les environnements cloud.
Steve Schmidt a ainsi assuré que l’une des leçons les plus importantes retirées de son passage chez AWS est de savoir se demander qui a accès à quoi et pourquoi : « un environnement trop permissif garantit des maux de tête », juge-t-il. « De quoi vos employés ont-ils besoin pour faire leur travail ? Le besoin est le mot clé ici, et il doit être strictement appliqué ».
Cela devient encore plus important lorsqu’on se penche sur l’impact croissant des attaques potentielles. Selon Steve Schmidt, AWS suit actuellement des quadrillions d’événements chaque mois.
Activer le MFA est l’un des moyens les plus simples et les plus efficaces d’ajouter une couche supplémentaire de sécurité pour l’accès aux ressources en mode cloud, a surenchéri Kurt Kufeld. Par exemple, si les informations d’identification sont accidentellement exposées sur GitHub, les utilisateurs seront toujours protégés si le MFA est actif.
Il a recommandé de l’activer pour les comptes AWS tout autant que pour dans sa vie personnelle quotidienne : « le MFA est une nécessité », estime ainsi Kurt Kufeld, car « les comptes protégés par MFA sont nettement plus sécurisés que ceux qui ne le sont pas ».
Mais Kurt Kufeld a également souligné l’importance du blocage des accès publics. Activer cette fonctionnalité lorsque les utilisateurs n’ont pas besoin d’un accès public à un bucket S3 est essentiel. Et dans certains cas, insiste Kurt Kufled, « cela vous sauvera absolument la vie ».
Jess BurnAnalyste principale chez Forrester Research
Les nouveaux buckets et points d’accès n’autorisent pas l’accès public par défaut, mais Kurt Kufeld estime possible que des clients des utilisateurs puissent l’autoriser par inadvertance. Il conseille de restreindre l’accès dans un premier temps puisque les utilisateurs peuvent ajouter des clients et des ressources si nécessaire.
Jess Burn, analyste principale chez Forrester Research, concède que ces appels à passer aux actes sont nécessaires, car de nombreuses entreprises ont encore du mal à activer le MFA à grande échelle et à bloquer l’accès public à leurs instances de cloud. En outre, juge-t-elle, l’élargissement de la surface d’attaque en mode cloud ajoute à l’urgence pour les entreprises et les entités du secteur public : « la surface d’attaque s’étend parce qu’il y a tellement de services en mode cloud – il ne s’agit pas seulement d’instances et d’infrastructures, mais aussi de petites applications et de services. Et vous ne saurez pas si une application cloud présente une vulnérabilité ou une mauvaise configuration des accès, si vous ne savez pas que vous l’utilisez ».
De nouvelles offres
Pour encourager le passage à l’acte, AWS a élargi les conditions d’éligibilité pour recevoir des clés de sécurité MFA gratuites, une initiative testée durant l’automne dernier.
Désormais, les utilisateurs de comptes basés aux États-Unis ayant dépensé plus de 100 dollars par mois au cours des trois derniers mois peuvent utiliser la clé pour se connecter à des applications telles que AWS, Dropbox, GitHub et Gmail. Dans un billet de blog publié au début du mois, AWS a souligné l’importance des clés de sécurité, en particulier pour les entreprises qui en sont aux premiers stades de la mise en œuvre du MFA.
AWS a également annoncé GuardDuty Malware Protection, qui détecte les activités suspectes sur les comptes et les traitements AWS. La recherche de maliciels se fait sans agent. En outre, elle s’exécute dans le compte de service AWS, sans affecter les traitements protégés.
AWS Security Hub, qui collecte et analyse les données de sécurité dans l’ensemble de l’environnement d’un client, reçoit automatiquement les résultats de GuardDuty Malware Protection. Ceux-ci peuvent en outre être examinés de manière plus approfondie par Amazon Detective, un service managé de chasse aux menaces.