Outils de surveillance AWS expliqués

La gestion de la sécurité et des performances dans le cloud est un compromis. D'une part, vos applications traditionnelles tomberont certainement en panne - elles ne pourront pas surveiller les failles de données qui se produisent dans le cloud, car il n'y a pas d'analogue dans un centre de données traditionnel. D'un autre côté, vous bénéficierez d'une visibilité insoupçonnée, ce qu'aucun centre de données traditionnel ne peut égaler. Cette visibilité est un outil puissant, mais seulement si elle est correctement exploitée. Voici comment procéder.

AWS et autres clouds publics évoluent rapidement

Lorsque vous utilisez le cloud, votre plan de gestion vous donne la possibilité de voir et de contrôler presque tout ce qui se passe dans votre implémentation, à une échelle de détail inimaginable dans un centre de données sur site. Le niveau de contrôle est exaltant, mais dangereux :toute personne disposant de votre identifiant peut créer ou détruire des réseaux en quelques secondes, voir qui effectue des appels d'API, identifier où sont conservées les données sensibles, etc.

Le plan de gestion ne crée pas seulement un point de défaillance unique assez intense dans le cloud. Il introduit également un niveau de vélocité difficile à suivre. La même adresse IP peut pointer vers un serveur différent d'une minute à l'autre, ou elle peut simplement cesser d'exister.

La vitesse du cloud signifie qu'il sera difficile de conserver des fichiers journaux cohérents. De plus, vous aurez des journaux venant de partout. Chaque réseau de votre cloud produira son propre journal et votre cloud contiendra des dizaines, des centaines ou des milliers de connexions réseau. Comment agréger ces journaux et surveiller les réseaux cloud pour détecter les signes d'incursion ?

Restreindre les métriques du cloud

Commençons par le principe que vous ne pouvez pas surveiller l'intégralité d'un réseau cloud en détail et en temps réel. Par conséquent, vous devez identifier les métriques les plus utiles pour surveiller et désigner le reste comme du bruit.

AWS contient un certain nombre d'outils de surveillance et de sécurité granulaires qui aideront les administrateurs à se concentrer sur le type de sécurité dont ils ont besoin. Cet article se concentrera sur AWS car, comme nous l'avons écrit dans le passé, il domine actuellement l'utilisation de l'informatique, avec plus de 40 % de part de marché. Si vous utilisez le cloud public, vous utilisez probablement AWS (mais d'autres plateformes de cloud public auront des outils similaires).

• Images de machines Amazon vous permettra de surveiller la configuration de votre cloud
• Amazon CloudTrail surveille tous les appels d'API dans votre cloud
• Amazon CloudWatch collecte les fichiers journaux de divers segments du réseau et peut les acheminer vers un SIEM sur site

Lorsqu'ils sont utilisés ensemble, ces services peuvent réduire considérablement le nombre de faux positifs que vous recevrez, tout en permettant aux administrateurs d'automatiser la gestion des incidents.

S'attaquer à la sécurité du cloud sans lever le petit doigt

En théorie, les administrateurs veulent savoir tout ce qui se passe dans leur cloud. En pratique, la plupart des incidents de sécurité sont mineurs et peuvent être gérés grâce à l'automatisation intégrée à AWS. Regardons un exemple.

Imaginez un utilisateur effectuant une modification de configuration non autorisée. CloudTrail va voir ce changement de configuration, car le changement implique de faire un appel d'API. CloudTrail enregistrera l'appel d'API, ce qui signifie que le journal sera collecté par CloudWatch.

CloudWatch fait plus que collecter des journaux :il peut être configuré avec des règles qui s'activent dans certaines conditions. Dans cet exemple, CloudWatch s'activera dès qu'il verra un appel d'API provenant de ce paramètre de configuration. Lorsqu'il s'activera, il déclenchera une fonction Lambda.

AWS Lambda fait partie de la technologie d'automatisation contenue dans AWS. Ce sont des morceaux de code extrêmement flexibles qui s'activeront lors de certains déclencheurs d'événements. Dans cet exemple, le code Lambda suivra le déclencheur d'événement de CloudWatch jusqu'à l'appel d'API de CloudTrail. Il vérifiera ensuite si l'appel d'API provient d'un utilisateur autorisé. Comme ce n'est pas le cas, le Lambda peut restaurer le réglage. En d'autres termes, AWS peut se soigner des incidents de sécurité sans intervention administrative.

Éliminer les faux positifs vous rend beaucoup plus sûr

En ce qui concerne la sécurité du cloud, il peut être facile de se noyer dans une mer de données. Heureusement, les mêmes outils qui produisent le flot de données peuvent également le réduire. Avec les bons outils et paramètres, vous serez en mesure de répondre à des incidents de sécurité plus graves avec beaucoup de temps et d'informations. Vous obtiendrez également une meilleure compréhension des performances des utilisateurs accédant aux charges de travail hébergées par AWS. Bien qu'AWS dispose de certains outils de surveillance, vous aurez besoin d'un outil capable de surveiller les réseaux entrant et sortant d'AWS afin que vous puissiez vérifier vous-même les problèmes de performances.

AppNeta aide les administrateurs à mieux comprendre AWS. Obtenez des informations critiques qui vont au-delà des outils par défaut et restez au courant des pannes, des ralentissements des applications et des pics d'utilisation. Demandez un essai gratuit dès aujourd'hui et ajoutez un autre outil puissant à votre arsenal de surveillance.