Amazon GuardDuty & Elastic Workload Protector

Amazon-GuardDuty-vs-EWPBien que le Cloud tend à se généraliser, la sécurité de celui-ci est toujours une préoccupation importante des équipes IT. Si les fournisseurs de Cloud remplissent leur mission, la sécurité des applications (workloads) et données restent la responsabilité des entreprises.
Sur le marché du IaaS, Amazon Web Services trust toujours la première place. Comme chaque année à son événement  re:Invent, la société a présenté ses nouveautés. L’occasion de mettre en avant son offre de détection Cloud GuardDuty. Avec celle-ci, AWS ajoute une pierre à son édifice sans toutefois résoudre totalement les problèmes de sécurité du Cloud des entreprises.

Rappelons-le, les principales barrières des entreprises à l’adoption du Cloud sont :
– Les solutions de sécurité traditionnelles (firewalls, scanners, tests d’intrusion manuels) ne sont plus adaptées au rythme de développement d’AWS.
– Les développeurs connaissant et respectant les bonnes pratiques de sécurité d’AWS sont peu nombreux.
– L’environnement AWS évolue trop rapidement pour effectuer toutes les meilleures pratiques de sécurité.

Des solutions additionnelles sont donc nécessaires pour obtenir une sécurité optimale. Après avoir étudié Amazon Inspector dans un précédent article, nous allons voir ce qu’apporte la nouvelle solution GuardDuty à l’offre sécurité d’AWS, à quels besoins de sécurité elle répond ainsi que ses différences et sa complémentarité avec notre solution de Cloud monitoring, Elastic Workload Protector (EWP).

 

GuardDuty

Avec GuardDuty, Amazon Web Services se lance dans la détection en continue des menaces. Grâce à son API, GuardDuty réalise une cartographie de l’infrastructure Cloud de ses clients. En quelques clics dans l’AWS Management Console, la solution analyse les événements et activités suspectes depuis AWS CloudTrail, VPC Flow Logs et d’autres sources de données AWS. De même, la solution s’aide de bases de connaissances des menaces (partenariat avec Proofpoint et Crowdstrike) et de machine learning.

Quand une menace potentielle est détectée, une alerte est transférée à GuardDuty ainsi qu’au AWS CloudWatch Events. Ainsi les alertes sont centralisées pour tous les comptes AWS de l’entreprise. Cela permet aux équipes de remédier aux problèmes grâce à l’inventaire disponible. De plus, la solution automatise la gestion des ressources et son intervention : elle réalisera plus de contrôles des comptes en période jugée critique (après une tentative d’intrusion par exemple).

 

Elastic Workload Protector (EWP)

Le constat a été fait en 2011 où, suite à une analyse de l’infrastructure d’AWS, SecludIT a détecté de nombreuses vulnérabilités. Pour répondre à cette problématique de sécurité qui subsiste toujours aujourd’hui, SecludIT a développé une solution de détection automatique et continue des failles de sécurité sur le Cloud. La solution, qui est compatible avec les autres fournisseurs IaaS, intègre également un scanner de vulnérabilités. Lors de ses scans automatisés, EWP recherche les vulnérabilités répertoriées par la base CVE, s’appuie sur les standards de sécurité de l’OWASP, de l’ANSSI et du PCI DSS, ainsi que sur les standards de sécurité du Cloud Security Alliance (CSA), du Center for Internet Security (CIS) et les bonnes pratiques de sécurité des fournisseurs de Cloud (AWS, Microsoft Azure, Google Cloud…). La solution évalue le niveau de risque global de l’infrastructure et dresse la liste des failles de sécurité détectées sur la plateforme ainsi que dans des rapports détaillés et personnalisables.

 

GuardDuty & Elastic Workload Protector : le perfect match ?

Plusieurs solutions de Cloud monitoring ont vu le jour afin de répondre aux problématiques de sécurité. S’il est toujours difficile de choisir entre différentes solutions, il peut être parfois judicieux d’en combiner pour plus de simplicité ou pour une couverture plus large des risques. Voici quelques éléments de comparaison de GuardDuty et EWP :

 

Elastic Workload Protector

GuardDuty

Mode de surveillance

Surveillance continue et automatique (envoi d'alertes en temps réel)
Possibilité de programmer des scans

Détection continue (envoi d'alertes en temps réel)

Objets détectés

Détection des vulnérabilités
Détection des mauvaises configurations Cloud

Détection d’événements inhabituels ou suspects potentiellement dangereux

Outils de surveillance

API + scanner de vulnérabilités

API + log de détection d’anomalies
Activation GuardDuty sur un compte AWS en incluant une identité IAM


Clonage

Technologie brevetée pour cloner un serveur afin de ne pas affecter la production

N/A

Base de connaissances

Vulnérabilités CVE, normes CSA, CIS, ANSSI, OWASP, PCI DSS et bonnes pratiques des fournisseurs de Cloud (AWS, Google Cloud Compute, Microsoft Azure...)

Connaissances AWS, machine learning, connaissances des partenaires Proofpoint et CrowdStrike

Champs d'application

Cloud IaaS, multi-Cloud, Cloud hybride, environnements virtualisés de différents fournisseurs (dont AWS)

Compte clients AWS : un ou plusieurs, de n’importe quelle taille (Pas plus de 100 comptes membres sur un compte principal)

Alertes

Oui en temps réel

Oui. Alertes répertoriées, détaillées et priorisées dans le AWS Watch Events...)

Rapports inclus

Niveau de risque
Etat global de la sécurité
Détails des failles de sécurité

N/A

Correctifs

Correctifs détaillés pour chaque vulnérabilités et faille de sécurité détectées.
Plan d’action fournit aux équipes sécurité pour intervenir sur les failles de plus critiques.

Conseils aux équipes techniques pour s’occuper des problèmes détectés.
Activer AWS Lambda pour une remédiation automatique.

GuardDuty répond en partie aux problèmes de sécurité que rencontrent les entreprises utilisatrices de Cloud. La solution va permettre aux entreprises de détecter tous comportements jugés comme “suspect”.

Les entreprises devront néanmoins surveiller leur budget car les tarifs pratiqués par AWS sont fixés sur la quantité d’événements analysés par la solution. Il est donc également conseillé d’avoir analysé son infrastructure en amont afin de diminuer le risque de comportements anormaux.

Leurs périmètres d’analyses n’étant pas les mêmes, les solutions GuardDuty et EWP sont donc complémentaire. Tandis que l’une détecte les failles potentielles et vulnérabilités en amont (prévention) en proposant des remédiations, l’autre analyse l’activité de l’infrastructure et met en évidence les comportements suspects “en live”. GuardDuty constitue donc un complément intéressant à Elastic Workload Protector. Ensemble, elles pourraient constituer une base solide dans la construction d’un SOC.

 

Amateur d’AWS, vous pouvez découvrir notre livre blanc sur les meilleurs pratiques de sécurité AWS.
Curieux et désireux de protéger votre infrastructure entière (Cloud, multi-cloud, hybride et traditionnelle), nous vous proposons de tester gratuitement Elastic Workload Protector sur l’une de vos IP publiques afin de connaitre votre niveau de risque et de pouvoir y remédier. Car si une entreprise comme Apple laisse une faille de sécurité élémentaire sur macOS, cela peut aussi être votre cas.

 

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.