Steve Schmidt (Amazon Web Services) : « Des centaines d’attaques DDoS chaque jour »
Interview du responsable « sécurité » chez Amazon Web Services de passage à Paris : périmètres d’activité, menaces IT, BYOD, dénis de service, CERT…
Steve Schmidt supervise la sécurité IT au sein d’Amazon Web Services, la branche du pionnier du commerce électronique qui commercialise des services cloud pour le compte des entreprises.
De par son statut de multinationale (elle propose ses services aussi en France), AWS est confronté à de nombreuses problématiques de sécurité IT.
De passage à Paris, Steve Schmidt a accordé une « interview 360° » sur son périmètre d’activité.
(Entrevue réalisée le 22 janvier 2013, diffusé le 28/01/13 et corrigé le 31/01/13))
ITespresso.fr : Quelle organisation avez-vous mis en place pour assurer la sécurité IT chez Amazon Web Services ?
Steve Schmidt : Amazon Web Services est intégré dans une compagnie beaucoup plus large : le groupe Amazon.
Nous pouvons séparer les activités en trois grands volets : Amazon.com l’e-détaillant, le business pour compte de vendeurs tiers (via la place de marché Amazon : entrepôt de produits, logistique…) et Amazon Web Services. Aux Etats-Unis, je collabore avec un responsable homologue en charge de la sécurité IT pour le site Amazon.com.
Quant à mon équipe, elle supervise la sécurité IT sur les réseaux, les ressources data centers, les systèmes…Ainsi, nous sommes responsables de toutes les machines virtuelles exploitées par Amazon et de la sécurité autour des hyperviseurs.
Au-delà de mon groupe, on trouve des experts de la sécurité au sein des services opérationnels. Nous voulons explicitement intégrer un focus sécurité dans les processus de conception et de développement. Le fait de dévoiler la taille de mon équipe ne serait pas représentatif de notre véritable implication [d’ailleurs, il n’en dira pas plus sur le nombre de collaborateurs malgré notre insistance, ndlr].
Par exemple, pour l’exploitation d’EC2 (Amazon Elastic Compute Cloud ou comment créer des environnements virtuels via AWS), il existe des responsables sécurité au sein de cette équipe opérationnelle. Ils n’effectuent pas de reporting direct à moi mais aux managers en charge de ce service cloud. Nous fixons juste les standards de sécurité sur lesquels ils doivent s’appuyer.
Mon job est donc de me placer au-dessus, de fournir des certifications et de délivrer des droits d’accès aux collaborateurs d’Amazon mais aussi aux intervenants tiers qui travaillent sur notre réseau.
ITespresso.fr : Quelles sont vos priorités de sécurité IT ?
Steve Schmidt : Elles sont de deux ordres : la sécurité opérationnelle et celle portant sur les individus. Pour le premier cas, il s’agit de déterminer si oui ou non, nous disposons des bons processus (audit, analyse des logs…). Les fondements sont importants pour assurer l’expansion du business.
L’an dernier, nous avons lancé 158 nouvelles fonctionnalités et nouveaux services [update 31/01/12 : et non 136 comme indiqué auparavant, ndlr] chez AWS. Pour chacun d’entre eux, nous effectuons une révision de sécurité dès leur conception et nous vérifions que les recommandations soient respectés tout au long du développement.
Nous procédons à trois types de tests : les essais en interne (assurés par son équipe) et ceux faits en externe à travers divers éditeurs qui proposent des services « White Box » (accès au code source et aux réseaux pour identifier les failles éventuelles) et « Black Box » (des hackers qui mènent une attaque frontale).
ITespresso.fr : Et pour le personnel ?
Steve Schmidt : Nous devons être exigeants lors du recrutement de nouveaux collaborateurs. Pour cette sélection, nous menons des investigations en interne et recueillons des informations en provenance du monde entier.
Aux Etats-Unis, nous collectons des informations sur la situation financière de nos éventuelles futures recrues. Nous examinons leur casier judiciaire et leur cadre de vie (loue-t-il un appartement ou l’a-t-il acheté ?). Nous examinons ses éléments en fonction du poste auquel le candidat postule. Ainsi, une personne qui va gérer notre plateforme d’authentification va se retrouver à un poste sensible.
Et cela dure tout au long de son parcours en entreprise. L’employé ne dispose que des droits qui lui permettront d’effectuer ses tâches sur le réseau. Et son supérieur hiérarchique est censé revoir régulièrement les droits d’accès accordés pour réactualisation. Enfin, toute manipulation sur le réseau fait l’objet d’un enregistrement et d’un audit.
ITespresso.fr : Comment gérez-vous la dimension de la sécurité associée à la tendance du « Bring on your own device » chez Amazon ?
Steve Schmidt : Tout collaborateur peut apporter son terminal personnel à l’intérieur d’Amazon. Comme un Mac. Mais il doit tourner sous nos images logicielles d’entreprise. Les outils professionnels seront exactement les mêmes que ceux utilisés avec des machines de la société.
La direction IT prend en charge l’installation des logiciels avant l’usage des terminaux dans un cadre BYOD en entreprise.
ITespresso.fr : Quelles sont les plus redoutables menaces IT à votre avis ?
Steve Schmidt : Les menaces qui me préoccupent le plus sont celles liés aux systèmes réseaux et aux systèmes et celles liées au personnel. Pour ce dernier cas, cela n’arrête pas de changer. Nous suivons les standards de l’industrie en guise de prévention.
Par exemple, l’un des points auxquels nous prêtons le plus d’attention, c’est la séparation des identifications (« separation of credentials »). De tous temps, l’un des grands classiques de compromission en entreprise, c’est un intrus qui utilise une machine de l’entreprise et vole des identifiants. Chez Amazon, ce n’est pas suffisant pour accéder à tout le réseau. Il existe des systèmes de cartes à puce pour l’identification. Cette précaution écarte un large périmètre de menaces.
ITespresso.fr : Combien d’attaques par dénis de service visant vos infrastructures recensez-vous par jour ?
Steve Schmidt : Généralement, nous parvenons à les contenir avant que le visiteur d’Amazon ne s’en rende compte. Nous recensons plusieurs centaines d’attaques DDoS sur nos serveurs chaque jour.
C’est quelque chose qu’il faut considérer comme normal avec Internet. Que nous soyons la cible d’attaques n’est pas surprenant en raison de la taille de notre base de clients. Pour notre cas, il est important de concevoir un design d’infrastructure résiliente. C’est à dire susceptible d’absorber la charge avant l’attaque.
Et, au cours de l’assaut, nous cherchons à déterminer si l’origine du trafic est appropriée ou non. Par exemple, il serait curieux qu’une banque installée en Amérique du Nord observe une montée en trafic en provenance de la Chine.
ITespresso.fr : Au regard de votre expérience, comment pouvez-vous vous prémunir de ce type d’assauts ?
Steve Schmidt : Avant que l’attaque ne survienne, nous cherchons à déterminer avec les clients d’Amazon Web Services qui deviendraient des cibles potentielles quels seraient les scenari d’assauts. Nous fournissons aussi des préconisations pour protéger leurs infrastructures.
Ce n’est pas toujours évident d’interpréter les pics de trafic générés. Sont-ils légitimes ou non ? Est-ce une vente flash sur un site marchand ? Un match de base-ball important sur une chaîne de télé pouvant avoir des répercussions sur le Web ?
Par conséquent, nous devons être très prudents avant de bloquer le trafic et travailler davantage avec nos clients en amont sur les pics à prévoir.
ITespresso.fr : Dans quelle mesure collaborez-vous avec des agences nationales en charge de la sécurité comme l’US-CERT ?
Steve Schmidt : Compte tenu de notre statut de société multinationale, nous entretenons des relations avec diverses organisations en charge de la sécurité dans le monde. L’US-CERT mais son équivalent en Australie. Il s’agit essentiellement de récupérer des informations en « input ».
En Europe, nous collaborons avec l’ENISA (agence européenne en charge de la protection des réseaux). Au Royaume-Uni, nous travaillons avec les agences de sécurité car nous disposons de clients gouvernementaux.
ITespresso.fr : Quid de l’ANSSI, notre agence nationale de sécurité IT ?
Steve Schmidt : Nous avons entamé une proche collaboration avec elle. Si les clients professionnels souhaitent que l’on se rapproche encore davantage de l’ANSSI, nous serions très intéressés.
ITespresso.fr : Comment gérez-vous la sécurité IT des services français d’Amazon (Amazon.fr, clients AWS…) ?
Steve Schmidt : La sécurité est gérée dans différents endroits. Notamment à Dublin (Irlande), nous disposons d’une équipe opérationnelle de sécurité IT qui prennent en charge des data centers au niveau régional. Dans la zone Asie-Pacifique, nous avons aussi des équipes régionales dédiées.
ITespresso.fr : Prenez-vous en charge la sécurité des produits hardware d’Amazon comme la tablette Kindle Fire ?
Steve Schmidt : C’est une autre entité au sein de la compagnie qui prend en charge l’appareil et la manière dont il fonctionne. Mais nous fournissons les infrastructures pour assurer la sécurité sur ce type de produits et son écosystème (téléchargements d’applications, contenus…).
ITespresso.fr : AWS pourrait-il monter sa propre offre de sécurité IT dans le cloud en vue d’une commercialisation ?
Steve Schmidt : Ce n’est pas notre orientation. Nous proposons plutôt à des éditeurs tiers de commercialiser leurs services via notre plateforme. Par exemple, pour les tests de pénétrations de serveurs, l’éditeur Core propose une déclinaison cloud (solution CloudInspect, cloud security testing for AWS) à côté de sa solution sur site.