Part 2 : Privacy dans le Cloud Public ? Tirer les leçons du BuckHacker gate

08 mars 2018

(PART 2/2) Fin 2017 et début 2018 ont été particulièrement marqués par la divulgation de données sensibles stockées sur le Cloud public. Ces fuites, plus ou moins graves, ont touché indistinctement des sociétés diverses et variées (i.e. Accenture) et des institutions étatiques (i.e. NSA, US army, etc.) et posent la question des bonnes pratiques de sécurité sur le Cloud et de la compréhension du modèle de responsabilité partagée proposé par les acteurs du Cloud public. 


Comment prévenir les failles de sécurité ?

De ce constat a ainsi émergé l’idée de BuckHacker, basée sur un moteur de recherche similaire au moteur de Google, ayant pour but de requêter en amont le contenu publiquement accessible des buckets S3, ainsi que des conteneurs d’autres fournisseurs Clouds confrontés au même problème, afin de pouvoir l’indexer. Une fois ce contenu indexé, il devient alors possible de le parcourir rapidement via un moteur de recherche. Il est à noter que bien que la majorité de ce contenu soit destiné à de la diffusion publique, la présence de contenu sensible au milieu de ces données rend l’utilisation de ces moteurs de recherche particulièrement prisée des hackers.

AWS a pris le problème au sérieux en proposant d’abord tout une série de nouvelles fonctionnalités orientée vers la sécurisation des conteneurs S3 en novembre. Puis en incluant depuis le 20 février la vérification des autorisations sur les buckets S3 dans son offre Trust Advisor gratuite.

Dans le cas où les bonnes pratiques de design d’architecture Cloud basées sur l’automatisation et l’Infrastructure as Code n’ont pas été mises en place dès le départ, nous préconisons un accompagnement à la sécurisation des environnements Cloud.

Nos 4 conseils pour protéger son bucket

  • Mise en place de processus de vérification de la compliance de ces réseaux d’entreprise d’un nouveau genre
  • Audits réguliers utilisant les méthodologies et outils les plus récents, tels les indexeurs de conteneurs Cloud
  • Mise en place du service AWS Config avec des règles de compliances customisées sur mesure pour l’ensemble de nos clients. AWS Config est le service de suivi de la compliance fourni nativement par AWS, une fois activé il prend des captures régulière de votre environnement Cloud au format JSON qui peuvent ensuite être analysées et exploitées grâce à un outil de monitoring spécialement configuré pour cela.
  •  Identifier des spécialistes  dans les différentes technologies de monitoring disponibles sur le marché
  • Benchmark et choix des partenaires clés, tel qu’Elastic ou Splunk, qui aideront votre business à tirer partie de ce puissant outil que vous offre AWS.
Découvrez ou redécouvrez notre article sur le BuckHacker en cliquant ici.
devoteam

Contact

Aristide Bouix
Julien Stanojevic
Vincent Gervais

Consultant Sécurité du SI chez Devoteam