Vous envisagez peut-être d’utiliser AWS pour héberger vos applications critiques. Dans le cadre de votre diligence raisonnable, vous décidez d’effectuer un test d’intrusion dans un environnement AWS. Vous ne vous rendez peut-être pas compte que, ce faisant, vous risquez d’enfreindre la politique d’utilisation acceptable d’AWS.
AWS ne permet pas à ses clients de procéder à des évaluations de la sécurité de l’infrastructure AWS ou des services AWS eux-mêmes. Cependant, il existe 8 services autorisés pour lesquels les clients d’AWS peuvent effectuer des tests d’intrusion sans autorisation préalable. Et quelles sont les activités interdites dont il faut tenir compte ?
Qu’est-ce qu’un Test d’Intrusion AWS ?
Les test d’intrusion AWS permettent d’évaluer la sécurité de votre système ou de votre application. En simulant une attaque, vous pouvez identifier les vulnérabilités potentielles et les corriger avant que des acteurs malveillants ne les exploitent. AWS autorise les tests de sécurité pour les services exploités par l’utilisateur, qui établissent une gestion de l’accès au nuage privé pouvant être configurée par l’utilisateur. Les organisations peuvent ainsi tester leurs systèmes sans interrompre totalement la continuité de leurs activités.
Les test d’intrusion AWS sont importants pour sécuriser vos données et vos applications dans le nuage. En utilisant des outils de test d’intrusion, vous pouvez simuler une attaque et trouver les vulnérabilités de votre système.
Les test d’intrusion sont-ils autorisés pour les clients d’AWS ?
AWS propose plus de 90 services d’hébergement en nuage différents, notamment des services de calcul et de stockage, de diffusion de contenu, de gestion de la sécurité, d’infrastructure réseau et d’hébergement physique pour les organisations locataires. Le large éventail de ces services se répartit généralement entre les catégories (IaaS), (PaaS) et (SaaS). Les objectifs organisationnels internes sont l’une des utilisations les plus fréquentes de ces environnements virtuels. En outre, AWS propose différents types de services en nuage, tels que la mise en réseau, le stockage de données, les fournisseurs d’applications web, et bien d’autres encore.
AWS permet aux clients d’effectuer des tests d’intrusion sur leurs propres environnements en nuage en utilisant les outils et les services qu’ils connaissent déjà.
Les organisations doivent s’assurer que leurs activités de test d’intrusion n’enfreignent pas les lois ou les règlements.
Quels sont les services AWS autorisés par Amazon pour les test d’intrusion?
Les clients d’Amazon Web Services (AWS) peuvent effectuer des évaluations de sécurité ou des test d’intrusion sur leur infrastructure AWS “sans autorisation préalable” pour les 8 services suivants :
- Amazon Aurora
- Amazon RDS
- Amazon CloudFront
- AWS Fargate
- Instances Amazon EC2, équilibreurs de charge élastiques et passerelles NAT
- Passerelles API Amazon
- Environnements Amazon Elastic Beanstalk
- Ressources Amazon Lightsail
- Fonctions AWS Lambda et Lambda Edge
Veuillez noter que d’autres activités, telles que la pénétration de la sécurité de l’AWS Core Infrastructure elle-même ou d’autres services AWS, ne sont pas autorisées. Si vous trouvez une faille de sécurité lors d’un pentest sur un service AWS, envoyez-la à l’adresse suivante : [email protected].
D’autre part, de nombreux services AWS sont construits sur le modèle SaaS (Software-as-a-Service), ce qui implique que l’utilisateur final n’a pas un contrôle total sur l’environnement cloud et ne peut donc pas être testé de la même manière qu’un environnement traditionnel sur site ou IaaS (Infrastructure-as-a-Service). Cependant, il n’est pas permis de tester l’infrastructure ou les services AWS, avec certaines activités interdites telles que :
Parmi les activités interdites, on peut citer
- Déni de service (DoS), déni de service distribué (DDoS), simulation de déni de service ( DoS/DDoS) (Ceux-ci sont soumis à la politique de test de simulation DDoS).
Politique en matière de tests de simulation DDoS
) - Déplacement de zones DNS via Amazon Route 53 Hosted Zones
- Inondation du protocole
- Inondation des ports
- Inondation des demandes (inondation des demandes de connexion, inondation des demandes d’API)
Ces activités ne sont pas autorisées par la politique d’utilisation acceptable de la plateforme AWS et peuvent entraîner la suspension ou la résiliation de votre compte.
Si vous souhaitez effectuer un test d’intrusion dans un environnement AWS, vous devez d’abord obtenir l’approbation du support AWS. Une fois l’approbation obtenue, vous pouvez procéder aux tests.
Comment effectuer des test d’intrusion AWS ?
Les test d’intrusion AWS
peut être un processus complexe, mais avec une bonne planification, il peut être un outil précieux pour évaluer votre posture de sécurité. Voici quelques étapes générales à suivre avant de commencer un pentest:
- Définir la portée du pentest, y compris la configuration AWS et les systèmes cibles.
- Effectuez des tests préliminaires pour déterminer le type de pentest que vous souhaitez réaliser.
- Définir les attentes des parties prenantes internes et de la société de tests d’intrusion.
- Établir un calendrier pour la réalisation des évaluations de sécurité, des rapports formels, des mesures correctives éventuelles et des tests de suivi.
- Élaborer le protocole et les règles d’engagement si le pentest révèle que le client a peut-être déjà été victime d’une intrusion ou qu’il fait l’objet d’une attaque en cours (en direct).
- Obtenir du client (et des autres tiers éventuellement impliqués) l’autorisation écrite de réaliser le test.
Toutes ces questions ne sont pas simples à résoudre et peuvent donner lieu à d’autres interrogations. Il est essentiel d’établir clairement le champ d’application, les objectifs et les règles de la mission de pentesting AWS. Cela vous aidera à éviter des erreurs coûteuses et chronophages en vous permettant de choisir la bonne entreprise de tests d’empreintes.
Que faire après la réussite d’un test d’intrusion le système AWS ?
Le processus de pentest AWS n’est pas terminé après l’évaluation et l’exécution de la sécurité. Les étapes suivantes sont tout aussi cruciales :
- Examiner toutes les constatations et les classer par ordre de priorité en fonction du risque.
- Élaborer un plan de remédiation et suivre les progrès accomplis.
- Effectuer régulièrement des tests de suivi pour s’assurer de l’efficacité des mesures correctives.
- Mettre à jour les politiques, les procédures et les programmes de formation sur la base des enseignements tirés du pentest.
À la suite d’un test d’intrusion, un rapport documenté des résultats et des recommandations de solutions sera remis à l’organisation. Plus le danger pour les principales ressources du système d’alerte précoce est élevé, plus l’exploitation est probable et plus l’impact potentiel sur l’entreprise est important. Bien entendu, il convient de s’attaquer d’abord aux menaces les plus graves. Toutefois, il est également essentiel que les experts en sécurité effectuent une nouvelle vérification avant de clôturer l’audit de sécurité. Un nouveau test est requis en vertu d’une législation, de règles et de normes spécifiques si l’entreprise de test d’intrusion fait des découvertes “critiques” ou “élevées”.
En outre, des informations sur les mesures correctives doivent être incluses si des rapports de pentest sont envoyés à un auditeur, à un client de l’entreprise ou à une autre tierce partie. La transmission sécurisée de ces rapports de tests de sécurité doit être envisagée afin d’éviter qu’un attaquant malveillant n’intercepte les données et n’apprenne comment mener une attaque contre l’entreprise.
Conclusion
La réalisation d’un test d’intrusion sur votre environnement AWS peut vous aider à identifier les failles de sécurité et à les atténuer avant qu’elles ne soient exploitées. Toutefois, il est important de suivre les meilleures pratiques et d’obtenir l’approbation de l’équipe de sécurité d’AWS avant de commencer les tests.
Vous avez besoin d’aide pour réaliser un pentest sur votre compte AWS ? Notre équipe d’experts peut vous aider tout au long du processus.
Le pentesting AWS peut sembler intimidant, mais il peut être un outil précieux pour évaluer votre posture de sécurité avec une bonne planification.
En suivant ce guide, vous pouvez vous assurer que votre prochaine expérience de pentesting AWS sera un succès ! Notre équipe d’experts est toujours là pour vous aider si vous avez des questions ou si vous avez besoin d’aide.
