Il s’agit de la première édition de cette conférence AWS dédiée à la sécurité de ce Cloud Service Provider (CSP). AWS est actuellement en train de proposer de nouveaux événements et summits sur des sujets spécifiques, en plus de l’événement annuel, le re:Invent.
Cette conférence aura lieu chaque année dans une ville différente des États-Unis, il est question de Houston pour l’année prochaine.
J’ai eu l’occasion de participer au re:Cap du re:Inforce proposé par AWS France, voici en synthèse, les éléments à ne pas manquer.
Annonces
Option de chiffrement par défaut de volume EBS
Il existe maintenant une option permettant d’obliger le chiffrement de tout volume Elastic Block Store (EBS) nouvellement crée. Cette option régionale est disponible par API ou via la console AWS.
Je vous propose un exemple de code permettant d’activer ce réglage sur l’ensemble de vos régions AWS sur un compte cible (voir ci-dessous)
- Exemple de script Python (boto3)
- Plus d’information sur cette option Opt-In Default EBS Encryption
Service Quotas
Ce nouveau service permet de contrôler l’état d’utilisation et de manager les quotas des différents services d’AWS.
En effet, vous avez déjà tous connu le fait de devoir ouvrir un case au support d’AWS afin de faire une demande d’augmentation de quotas de l’un de leurs services, comme le nombre de bucket S3 sur un compte. Dorénavant, vous pouvez suivre et manager ces quotas, dans une console centrale. Il existe également des limitations sur le nombre d’API call chez AWS. Certaines sont listés dans ce nouveau service, d’autres seront ajoutées dans les mois qui viennent, ce n’est pas exhaustif pour l’instant.
Plus d’information sur Service Quotas
VPC Traffic Mirroring
C’était une fonctionnalité très attendue et demandé par les clients d’AWS, nous avions jusqu’à présent les VPC Flow logs qui permettaient d’avoir les traces net-flow (metadata) du trafic d’un VPC, grâce au “VPC traffic mirroring”, vous pouvez maintenant dupliquer le trafic arrivant sur une Elastic Network Interface (ENI) vers une autre ENI pour analyser le trafic sans perte de performance, et ce, sans agent.
On peut y appliquer du filtrage, pour ne mirrorer qu’une partie du trafic, mais on peut également y appliquer plusieurs règles par ENI (3 au maximum). Le service peut fonctionner en cross-account, cross-VPC, idéal si vous avez un compte AWS de sécurité / audit.
Plus d’information sur VPC Traffic Mirroring
Security Hub (GA)
Ce service centralise tous les événements de sécurité d’un ensemble de comptes AWS dans un dashboard unique. Il était jusqu’à présent en preview, il vient d’être annoncé en General Availability (GA). Une limitation que l’on peut signaler, c’est que ce service n’est pas multi-region, mais multi-account uniquement.
Avec la disponibilité en GA, AWS vient d’annoncer les tarifs qui étaient jusqu’à présent gratuits le temps de la preview.
Plus d’information sur Security Hub
VPC Encryption
Le chiffrement des communications est maintenant actif à l’intérieur même d’un VPC, uniquement pour certain type d’instances récentes (Nitro). Il est nécessaire d’avoir ce type d’instance en source et en destination.
- Plus d’information sur le chiffrement à l’intérieur d’un VPC
Encryption Inter-Region / Inter-Building
C’est une annonce qui n’a pas fait beaucoup de bruit, mais dorénavant, le trafic entre bâtiments, et entre les régions d’AWS est chiffré. Il nous a également été expliqué qu’AWS avait des systèmes en place pour détecter tout mouvement suspect sur les fibres reliant ses différents bâtiments, si une fibre venait à être déplacée, manipulée, des alertes seraient alors déclenchées.
Sessions
- Keynote par Steve Schmidt – CISO AWS
Steve is Vice President and Chief Information Security Officer for AWS. His duties include leading product design, management, and engineering development efforts focused on bringing the competitive, economic, and security benefits of cloud computing to business and government customers. Prior to AWS, he had an extensive career at the Federal Bureau of Investigation, where he served as a senior executive and section chief. He currently holds five patents in the field of cloud security architecture.
- re:Inforce 2019 – Youtube Playlist
- Slides AWS
- Disponibilité d’un nouveau White-Paper: Security Incident Response WhitePaper