AWS Connexion à une instance EC2 – Partie 3: SSM Session Manager

AWS Connexion à une instance EC2 – Partie 3: SSM Session Manager

AWS Connexion à une instance EC2 – Partie 3: SSM Session Manager

On continue dans la série des différentes méthodes pour se connecter à une instance EC2 grâce au service AWS Systems Manager (SSM) – Session Manager. À l’image de EC2 Instance Connect, cette méthode nous dispense l’utilisation, et donc la gestion, de clés SSH et rend encore plus accessible la gestion de flotte d’instances.

Qu’est-ce que AWS SSM – Session Manager ?

Session Manager est un service d’AWS System manager qui permet une gestion sécurisée et traçable des instances sans nécessiter l’ouverture de ports entrants, la gestion d’hôtes bastion ou l’utilisation de clés SSH. Il permet de se conformer aux politiques d’entreprise en assurant un accès contrôlé aux instances gérées, en appliquant des pratiques de sécurité strictes et en fournissant des journaux d’audit détaillés pour chaque session. De plus, il offre aux utilisateurs finaux un accès multiplateforme en un seul clic à ces instances gérées, via le console AWS ou en CLI. Enfin, il peut tout à fait être utilisé dans un environnement hybride ou multi-cloud et offrir une gestion centralisée de toutes les machines en un seul point.

Les étapes pour utiliser AWS SSM – Session Manager

Configurer un rôle IAM

Configurer un rôle IAM pour le service EC2 avec la politique “AmazonSSMManagedInstanceCore”. Cela permet à SSM Session Manager d’établir une communication sécurisée avec l’instance EC2 via l’API SSM (utilisant des websockets). L’instance doit donc être autorisée à échanger des données avec le service.

Appliquer le rôle IAM à l’instance EC2

Que ce soit lors de sa création ou sur une instance déjà en cours d’exécution. Il est possible d’utiliser SSM Session Manager sur des instances existantes en ajoutant simplement les autorisations via le rôle IAM et en suivant les étapes nécessaires.

Si vous travaillez déjà avec une flotte d’instance et que vous souhaitez les configurer pour l’utilisation de session manager, le plus simple est d’utiliser le service “Quick Setup” de SSM.

Pour ce faire, rendez-vous dans SSM – Quick Setup et créez une nouvelle configuration de type “Host Management”.

Sélectionnez les options souhaitées comme la mise à jour de l’agent SSM automatiquement ou la configuration de l’agent CloudWatch.

Puis sélectionnez la région et la liste d’instances via tag, resource group, manuel…

Le service se chargera, entre autres, de créer le rôle IAM adéquat et de paramétrer toutes les instances voulues. À noter que la configuration peut prendre plusieurs minutes avant de se finaliser et que l’on puisse utiliser Session manager.

S’assurer que l’AMI utilisée a l’agent SSM installé

La plupart des AMIs courantes incluent l’agent SSM par défaut.

Liste des instances compatibles:

  • Amazon Linux Base AMIs dated 2017.09 and later
  • Amazon Linux 2
  • Amazon Linux 2 ECS-Optimized Base AMIs
  • Amazon Linux 2023 (AL2023)
  • Amazon EKS-Optimized Amazon Linux AMIs
  • macOS 10.14.x (Mojave), 10.15.x (Catalina), and 11.x (Big Sur)
  • SUSE Linux Enterprise Server (SLES) 12 and 15
  • Ubuntu Server 16.04, 18.04, and 20.04
  • Windows Server 2008-2012 R2 AMIs published in November 2016 or later
  • Windows Server 2016, 2019, and 2022

Si vous utilisez d’autres AMI ou pour les clouds hybrides, voici quelques liens pour pouvoir installer l’agent manuellement:

Configurer le réseau

Il n’est pas nécessaire d’ouvrir des flux entrants spécifiques dans les groupes de sécurité, ce qui est toujours une bonne chose en termes de sécurité. Étant donné que la connexion se fait à partir de SSM, il suffit de configurer les flux sortants appropriés pour permettre la communication.

Au minimum:

  • ec2messages.<region-ID>.amazonaws.com
  • ssm.<region-ID>.amazonaws.com
  • ssmmessages.<region-ID>.amazonaws.com

À noter qu’il n’est pas obligatoire d’avoir une IP publique, à condition que le sous-réseau (subnet) privé passe par une NAT gateway, afin que l’instance puisse sortir sur internet.

Se connecter à l’instance EC2

Avec les autorisations appropriées et une fois que tout est configuré, les utilisateurs peuvent facilement se connecter à leurs instances gérées via la console AWS ou en utilisant les commandes CLI.

AWS Console – EC2 connect

CLI

aws ssm start-session –region <region> –target <instance-id>

Pour conclure, ce service mérite d’être exploré car il est simple d’utilisation et fait partie d’une suite  plus large: System Manager, offrant ainsi une multitude de fonctionnalités d’automatisation pour les flottes d’instances EC2. Vous pourrez lancer des commandes en simultané, gérer les mises à jour, contrôler l’accès en fonction de l’heure ou pour une période spécifique, et bien plus encore.

Ces informations sont correctes au moment de la rédaction de l’article, cependant, il est important de noter que les services AWS évoluent constamment. Il est possible que certaines fonctionnalités, noms, etc. soient différents ou aient changé depuis lors.

AWS Connexion à une instance EC2 – Partie 2: EC2 Instance Connect

AWS Connexion à une instance EC2 – Partie 2: EC2 Instance Connect

AWS Connexion à une instance EC2 – Partie 2: EC2 Instance Connect

Deuxième partie de la série AWS : Connexion à une instance EC2 avec EC2 Instance Connect

Je suis ravi de vous présenter la deuxième partie de notre série sur la connexion à une instance EC2, où nous allons explorer la méthode utilisant “EC2 Instance Connect”. Dans cet article, nous découvrirons comment se connecter à une instance sans avoir besoin de stocker des clés SSH.

Qu’est-ce que EC2 Instance Connect ?

Dans le précédent article nous avons vu comment se connecter à une instance de manière classique en SSH. Pratique et rapide pour se connecter à une instance, mais dans le cloud il n’est pas rare d’avoir tout une flotte d’instances à gouverner et la gestion du cycle de vie des clés SSH peut devenir un réel casse-tête.

Instance Connect est un service proposé par AWS qui permet de se connecter à une instance EC2 sans avoir à gérer des clés SSH. AWS génère et manage automatiquement des clés SSH temporaires pour vous, simplifiant ainsi le processus de connexion sécurisée à vos instances.

Comment EC2 Instance Connect fonctionne

Lorsque la fonction EC2 Instance Connect est activée sur une instance, le démon SSH (sshd) de cette instance est configuré avec un script AuthorizedKeysCommand personnalisé. Ce script met à jour AuthorizedKeysCommand pour lire les clés publiques SSH à partir des métadonnées de l’instance pendant le processus d’authentification SSH, et vous connecte à l’instance.

Les clés publiques SSH ne peuvent être utilisées qu’une seule fois pendant 60 secondes dans les métadonnées de l’instance. Pour vous connecter à l’instance avec succès, vous devez vous connecter à l’aide de SSH pendant cette période. Comme les clés expirent, il n’est pas nécessaire de suivre ou de gérer ces clés directement, comme vous le faisiez auparavant.

Comment utiliser EC2 Instance Connect

Créer une instance sans clés SSH

Le fait de ne pas associer de clés SSH n’est pas obligatoire, Instance Connect fonctionnera tout aussi bien. Mais dans le but de ne plus avoir à se soucier du cycle de vie des clés SSH, dans cet exemple nous n’utilisons pas de clés.

Assurez-vous de lui associer une IP publique !

Instance Connect est installé par défaut sur les AMI suivante:

  • Amazon Linux 2 2.0.20190618 or later
  • Ubuntu 20.04 or later

Si votre AMI ne fait pas partie de cette liste, voici un article qui explique comment l’installer sur tous types d’instances.

Ouvrir le port SSH sur le range AWS

Assurez-vous d’ouvrir le port SSH (par défaut, le port 22) dans le groupe de sécurité associé à votre instance, avec comme source le range d’IPs d’AWS, pour le trafic entrant (inbound).

Vous trouverez la liste des ranges IPs d’AWS ici. Elles sont classées par région et par service.

Pour vous aider à déterminer celle qui vous sied, vous pouvez télécharger cette liste et lancer la commande suivante:

Windows

Get-AWSPublicIpAddressRange -Region us-east-1 -ServiceKey EC2_INSTANCE_CONNECT | select IpPrefix

Linux

jq -r ‘.prefixes[] | select(.region==”us-east-1″) | select(.service==”EC2_INSTANCE_CONNECT”) | .ip_prefix’ < ip-ranges.json

Assurez-vous de modifier la région en lien avec la région sur laquelle est déployé votre instance.

Pour plus de détails voir cet article.

Configurer les droits IAM

Pour utiliser Instance Connect, vous devez configurer les autorisations IAM appropriées.

L’utilisateur IAM doit être en mesure de pouvoir transmettre ses clés SSH à EC2 Instance Connect.

Exemple de policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSSHPublicKey"
            ],
            "Resource": [
                "arn:aws:ec2:$REGION:$ACCOUNTID:instance/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ec2-user"
                }
            }
        }
    ]
}

Une fois cette policy créé, vous pouvez directement l’assigner à un utilisateur, un group ou un rôle qui sera assumé pour l’utilisateur IAM.

Se connecter depuis la console ou un terminal

Une fois les étapes précédentes terminées, vous êtes prêt à vous connecter à votre instance EC2 à l’aide d’Instance Connect. Vous pouvez le faire

Directement depuis la console AWS en sélectionnant l’instance puis “Connect” puis “EC2 Instance Connect”

  • En utilisant un terminal SSH avec la commande
aws ec2-instance-connect send-ssh-public-key

Concernant le username, je vous renvoie sur le précédent article de cette série où je liste les username par défaut en fonction des AMI utilisées.

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

Avec EC2 Instance Connect, la gestion des clés SSH devient plus simple et plus sécurisée, puisque celles-ci sont générées et gérées par AWS de manière éphémère. Vous pouvez ainsi vous concentrer sur votre travail et éviter les tracas liés à la gestion des clés SSH.

Ces informations sont correctes au moment de la rédaction de l’article, cependant, il est important de noter que les services AWS évoluent constamment. Il est possible que certaines fonctionnalités, noms, etc. soient différents ou aient changé depuis lors.

Communiqué de presse – Juillet 2023

Communiqué de presse – Juillet 2023

Communiqué de presse – Juillet 2023

Swiss Expert Group SA entre au capital de eb-Qual SA et renforce son offre de cybersécurité en Suisse.

Genève, le 13 juillet 2023 – Swiss Expert Group, leader en cybersécurité et en solutions cloud, entre au capital de eb-Qual SA, une entreprise fribourgeoise spécialisée dans les solutions de sécurité informatique. Cette acquisition vient renforcer le portefeuille de services du Groupe et soutenir sa croissance en Suisse romande et en Suisse alémanique. eb-Qual SA conservera son CEO et continuera à opérer en tant que marque indépendante depuis ses bureaux de Fribourg et Zurich..

Avec cette acquisition, Swiss Expert Group poursuit son expansion, renforce sa position de leader indépendant en Suisse et compte désormais près de 100 collaborateurs répartis sur 6 sites, couvrant les cantons de Genève, Vaud, Fribourg et Zürich.

Cédric Enzler, Président du conseil d’administration de Swiss Expert Group SA, souligne que les services offerts par eb-Qual SA répondent de manière précise aux défis majeurs auxquels les entreprises suisses sont confrontées en matière de cybersécurité.

« Grâce à l’arrivée de eb-Qual SA au sein de notre groupe, nos compétences et expériences combinées nous permettront de garantir le succès de nos clients suisses dans les domaines de la sécurité informatique et de la transformation digitale. »

Cédric Enzler

CEO d’e-Xpert Solutions et Président du Conseil d’Administration de Swiss Expert Group

Fondée en 2002 à Givisiez (Fribourg), Eb-Qual SA est une entreprise familiale qui si distingue en tant qu’acteur majeur de la sécurité informatique en Suisse romande et en Suisse alémanique. La société dispose d’un portefeuille de technologies pointues qui la positionne comme un acteur de prédilection des entreprises suisses, quelle que soit leur taille.

« En rejoignant Swiss Expert Group, nous sommes ravis de concrétiser le projet initié par Jacques Macherel, notre regretté fondateur. La décision stratégique de ce partenariat témoigne de notre vision commune et de notre alignement sur une stratégie de développement à long terme, tout en préservant notre culture d’entreprise et notre ADN. », commente Hervé Ottet, CEO de eb-Qual SA. « Ce partenariat ouvre de nouvelles opportunités pour nos clients, qui bénéficieront désormais d’un portefeuille étendu de services, comprenant notamment la cybersécurité managée, le DevSecOps et les solutions Cloud. En unissant nos forces, nous visons à renforcer notre soutien avec des solutions plus complètes dans le marché en constante évolution de la sécurité numérique.»

Hervé Ottet

CEO de eb-Qual SA

À propos de Swiss Expert Group SAwww.swissexpertgroup.com  – Swiss Expert Group est un groupe natif spécialisé dans la cybersécurité et les solutions Cloud, bénéficiant de plus de 20 ans d’expérience. Il a été fondé en 2022, lorsque e-Xpert Solutions (leader en cybersécurité) et One Step Beyond (leader en solutions Cloud) ont uni leurs forces. Avec l’intégration de eb-Qual SA et la présence de bureaux à Genève, Gland, Lausanne, Givisiez, Kloten et Budapest, notre équipe compte désormais plus de 100 professionnels passionnés de cybersécurité et de Cloud. Nous collaborons avec plus de 350 clients suisses et internationaux basés en Suisse.

A propos de eb-Qual SAwww.eb-qual.ch eb-Qual est un spécialiste qui propose des services de sécurité des TIC et de réseau dans les secteurs public et privé en Suisse. Fondée en 2002, eb-Qual SA est spécialisé dans le conseil, la planification et la mise en œuvre de solutions de réseau sophistiquées pour garantir la sécurité informatique. La société, qui a des bureaux à Fribourg et à Zürich, emploie du personnel qualifié et expérimenté et choisit soigneusement les meilleures solutions disponibles sur le marché.

Contact Presse

Swiss Expert Group : Frédérique Hofmann | frederique.hofmann@swissexpertgroup.com

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

Étape 1 : Créer une instance EC2

Pour cette méthode, la première chose à faire consiste bien souvent à générer la paire de clés SSH qui va nous servir pour la connexion. Mais dans notre cas, AWS s’occupe de tout, donc nous pouvons tout de suite passer à la création de l’instance.

Lors de cette étape, il faudra sélectionner une paire de clés SSH, soit en choisissant une nouvelle paire générée par AWS, soit en utilisant une paire déjà existante, hébergée sur AWS.

Je porte votre attention sur le fait que se sera votre seule et unique chance que configurer une paire de clés SSH via la console de management AWS. Cela sous-entend que si vous oubliez ou que vous vous trompez, il faudra utiliser une autre méthode pour vous connecter à votre instance ou détruire l’instance et la recréer… Mais pas de panique, si aucune clé n’est renseignée au moment de créer l’instance, par sécurité un pop-up vous demandera d’en sélectionner une ou de volontairement choisir l’option de ne pas en utiliser.

Petit aparté : même si depuis la console de management il n’est plus possible d’ajouter des clés SSH, en vous connectant sur votre instance vous pourrez toujours en ajouter/retirer en allant voir dans le dossier “~/.ssh/authorized_keys”, comme vous le feriez sur n’importe quelle machine. Mais ce n’est pas le sujet d’aujourd’hui.

Étape 2 : IP publique

Afin de pouvoir atteindre votre instance depuis le réseau internet, il vous faudra déployer votre instance dans un subnet (sous-réseau) publique et lui associer une IP publique.

Étape 3 : Autoriser la connexion SSH

Avant toute chose revenons sur la notion de “security group”. Ces derniers sont en quelque sorte des firewalls logiciel qui par défaut bloque tout le trafic. Pour le configurer il faut choisir le port ou protocole que l’on souhaite ouvrir, la source (plage d’IPs) et ça pour le trafic entrant “inbound” et sortant “outbound” de votre instance.

Sachant que lorsque rien n’est spécifier, le trafic est bloqué, il faut ouvrir le port 22 – SSH – pour le trafic entrant (inbound). Concernant la source, les bonnes pratiques sont de limiter la plage d’IPs au maximum. Nous vous conseillons donc de mettre votre IP, ou le range de votre entreprise.

Étape 4 : Connexion

Une dernière étape est nécessaire si vous utilisez une paire de clés fraîchement générée, il faut changer les permissions sur votre clé locale afin de s’assurer qu’elle ne soit pas publiquement visible. Pour se faire lancer la commande :

chmod 400 <path/to/key.pem>

Enfin, récupérer l’IP publique ou le DNS de la machine depuis la console de management, et lancer la connexion depuis votre client SSH préféré.

ssh -i “<path/to/key.pem>” @ip

Le “user” dépend de l’AMI utilisé pour lancer l’instance. Voici un tableau des principaux utilisateurs par défaut:

 

AMI  Utilisateur par défaut
Amazon Linux 2023

Amazon Linux 2

Amazon Linux

ec2-user
CentOS centos or ec2-user
Debian admin
Fedora fedora or ec2-user
RHEL ec2-user or root
SUSE ec2-user or root
Ubuntu ubuntu
Oracle ec2-user
Bitnami bitnami
Autre Voir le fournisseur de l’AMI

 

Bonus tip

Tout ça s’est bien joli mais si la machine n’est pas exposée sur internet, elle est sur un réseau privé et n’a donc pas d’adresse IP, est-il quand-même possible de se connecter en SSH dessus ?

Bien entendu !

Une des techniques est d’utiliser une instance relai, généralement appelée “Bastion”. Cette dernière doit être déployée sur le même VPC que le machine que l’on souhaite atteindre, mais dans un subnet publique (configuré avec une internet gateway), afin de pouvoir lui attribuer une IP publique.

D’une part, créez votre bastion en suivant les étapes décrites ci-dessus.

Une fois lancé, téléchargez la clé SSH de votre instance privée, sur le bastion, en utilisant scp par exemple.

D’autre part, modifiez le security group de votre instance privée, en ouvrant le trafic entrant sur le port 22 au security group de l’instance publique. En effet sur AWS, il est possible de configurer un autre security group en source, à la place d’une IP. Cela signifie que le security group “privée” laissera passer les messages sur le port 22, en provenance des instances du security group “publique”. Cela a pour avantage de pouvoir supprimer le bastion lorsque l’on en a plus besoin, et lorsque l’on en recrée un nouveau, même si l’IP change, la connexion est toujours possible sans avoir besoin de tout reconfigurer.

Vous pouvez maintenant vous connecter à votre instance privée, en passant par le bastion. Cette technique est souvent utilisée pour se connecter aux bases de données, qui sont souvent hébergé sur des instances privées.

Ces informations sont correctes au moment de la rédaction de l’article, cependant, il est important de noter que les services AWS évoluent constamment. Il est possible que certaines fonctionnalités, noms, etc. soient différents ou aient changé depuis lors.

Communiqué de presse – Décembre 2022

Communiqué de presse – Décembre 2022

Communiqué de presse – Décembre 2022

Un leader de la Cybersécurité s’allie à un expert du Cloud pour créer Swiss Expert Group.

Genève, le 7 décembre, 2022 – La société e-Xpert Solutions, basée à Plan-les-Ouates, et l’entreprise One Step Beyond, basée à Gland, unissent leurs forces pour créer le leader indépendant de la Cybersécurité et du Cloud en Suisse Romande. Swiss Expert Group (SEG) réunit plus de 80 experts des domaines de la Cybersécurité et des Solutions Cloud.

Il ne se passe plus une semaine sans que la presse ne se fasse l’écho d’une nouvelle attaque paralysant les utilisateurs d’une entreprise, une administration ou une institution. En Suisse, un quart des PME mentionnent avoir été victime de cyberattaques et 84% des entreprises déclarent avoir subi une ou plusieurs attaques au cours des 12 derniers mois1. Simultanément à ce risque croissant, les organisations se tournent de plus en plus vers les Solutions Cloud pour profiter de plus de flexibilité, de mobilité et mieux gérer les contraintes d’investissement. En 2021, 89% des entreprises ont une stratégie multi- Cloud, et 80% d’entre elles ont une approche hybride, contre respectivement 84% et 58% en 20182.

Le défi à relever est donc de faciliter l’accès aux données, sans pour autant faire naître des vulnérabilités et risquer d’exposer les organisations à des actions malveillantes. C’est cette équation complexe que se propose de résoudre Swiss Expert Group grâce à ses deux entités : e-Xpert Solutions et One Step Beyond.

« Lorsque l’on parle de Cloud, les questions de sécurité s’invitent rapidement dans la conversation. Notre approche unique pour répondre aux défis des organisations Suisse : la création d’un groupe spécialisé, expert et natif dans les domaines des solutions Sécurité et du Cloud. Il garantit aux entreprises et institutions de bénéficier de toute l’innovation et de l’agilité du Cloud, sans aucun compromis de sécurité, de confidentialité et de souveraineté. » 

Anees Qureshi

CEO de One Step Beyond et membre du Conseil d’Administration de Swiss Expert Group

« La cybersécurité a un rôle essentiel à jouer pour que les entreprises, en Suisse, puissent bénéficier sereinement et pleinement des nombreux avantages résultant de l’utilisation des nouvelles technologies. Nos convictions technologiques et le total alignement sur notre manière d’exercer notre métier du service, nous ont naturellement poussés à nous allier avec One Step Beyond. Regroupant plus de 80 experts hautement qualifiés et un portefeuille de service couvrant tous les aspects de la Cybersécurité et des solutions Cloud, le groupe se positionne au premier plan de l’écosystème des sociétés suisses indépendantes .»

Cédric Enzler

CEO d’e-Xpert Solutions et Président du Conseil d’Administration de Swiss Expert Group

« L’étude 2022 Cloud Security réalisée par Check Point confirme que 27% des entreprises ont connu un incident de sécurité dans leur infrastructure de cloud public. 23% de ces incidents ont été causés par de mauvaises configurations du cloud.  La Cybersécurité et le Cloud sont donc étroitement liés afin d’assurer un accompagnement optimal de nos clients. Dans un environnement technologique qui évolue extrêmement rapidement, notre mission est de permettre à nos clients de profiter d’avantages comparatifs technologiques importants… et en toute sécurité. »

Alain Pittet

Membre du Conseil d’Administration de Swiss Expert Group

Sources

  1. Etude faite par Axa Assurance en août 2022 / ICT Journal dans un article daté du 2.3.2022
  2. Flexera 2022 State of the Cloud Survey Report

Contact Presse

One Step Beyond – Frédérique Hofmann / frederique.hofmann@osb.group
e-Xpert Solutions SA – Caroline Reverchon / caroline.reverchon@e-xpertsolutions.com

A propos d’e-Xpert Solutions www.e-xpertsolutions.com – e-Xpert Solutions est une PME Suisse spécialisée dans la cybersécurité depuis plus de 20 ans. Elle propose des services dans le domaine de l’intégration, les tests d’intrusion (pentest), la réponse à incident ainsi que des services managés grâce à son Security Operating Center (SOC), 7/7 – 24/24.  E-Xpert Solutions compte plus de 40 experts en Cyber-sécurité.

A propos de One Step Beyond Group-  www.osb.group – One Step Beyond Group (OSB) est une société internationale de conseil en technologies innovantes, spécialisée dans les Solutions Cloud (Azure, GCP, AWS). OSB compte plus de 40 experts du Cloud et a été nommé partenaire Suisse de l’année par Microsoft en 2019, 2020 et 2021. 

fr_FR