AWS Connexion à une instance EC2 – Partie 2: EC2 Instance Connect

AWS Connect to an EC2 Instance - Part 2: EC2 Instance Connect

by | Jul 14, 2023 | AWS

AWS Connect to an EC2 Instance - Part 2: EC2 Instance Connect

Deuxième partie de la série AWS : Connexion à une instance EC2 avec EC2 Instance Connect

Je suis ravi de vous présenter la deuxième partie de notre série sur la connexion à une instance EC2, où nous allons explorer la méthode utilisant “EC2 Instance Connect”. Dans cet article, nous découvrirons comment se connecter à une instance sans avoir besoin de stocker des clés SSH.

Qu’est-ce que EC2 Instance Connect ?

Dans le précédent article nous avons vu comment se connecter à une instance de manière classique en SSH. Pratique et rapide pour se connecter à une instance, mais dans le cloud il n’est pas rare d’avoir tout une flotte d’instances à gouverner et la gestion du cycle de vie des clés SSH peut devenir un réel casse-tête.

Instance Connect est un service proposé par AWS qui permet de se connecter à une instance EC2 sans avoir à gérer des clés SSH. AWS génère et manage automatiquement des clés SSH temporaires pour vous, simplifiant ainsi le processus de connexion sécurisée à vos instances.

Comment EC2 Instance Connect fonctionne

Lorsque la fonction EC2 Instance Connect est activée sur une instance, le démon SSH (sshd) de cette instance est configuré avec un script AuthorizedKeysCommand personnalisé. Ce script met à jour AuthorizedKeysCommand pour lire les clés publiques SSH à partir des métadonnées de l’instance pendant le processus d’authentification SSH, et vous connecte à l’instance.

Les clés publiques SSH ne peuvent être utilisées qu’une seule fois pendant 60 secondes dans les métadonnées de l’instance. Pour vous connecter à l’instance avec succès, vous devez vous connecter à l’aide de SSH pendant cette période. Comme les clés expirent, il n’est pas nécessaire de suivre ou de gérer ces clés directement, comme vous le faisiez auparavant.

Comment utiliser EC2 Instance Connect

Créer une instance sans clés SSH

Le fait de ne pas associer de clés SSH n’est pas obligatoire, Instance Connect fonctionnera tout aussi bien. Mais dans le but de ne plus avoir à se soucier du cycle de vie des clés SSH, dans cet exemple nous n’utilisons pas de clés.

Assurez-vous de lui associer une IP publique !

Instance Connect est installé par défaut sur les AMI suivante:

  • Amazon Linux 2 2.0.20190618 or later
  • Ubuntu 20.04 or later

Si votre AMI ne fait pas partie de cette liste, voici un article qui explique comment l’installer sur tous types d’instances.

Ouvrir le port SSH sur le range AWS

Assurez-vous d’ouvrir le port SSH (par défaut, le port 22) dans le groupe de sécurité associé à votre instance, avec comme source le range d’IPs d’AWS, pour le trafic entrant (inbound).

Vous trouverez la liste des ranges IPs d’AWS here. Elles sont classées par région et par service.

Pour vous aider à déterminer celle qui vous sied, vous pouvez télécharger cette liste et lancer la commande suivante:

Windows

Get-AWSPublicIpAddressRange -Region us-east-1 -ServiceKey EC2_INSTANCE_CONNECT | select IpPrefix

Linux

jq -r ‘.prefixes[] | select(.region==”us-east-1″) | select(.service==”EC2_INSTANCE_CONNECT”) | .ip_prefix’ < ip-ranges.json

Assurez-vous de modifier la région en lien avec la région sur laquelle est déployé votre instance.

Pour plus de détails voir cet article.

Configurer les droits IAM

Pour utiliser Instance Connect, vous devez configurer les autorisations IAM appropriées.

L’utilisateur IAM doit être en mesure de pouvoir transmettre ses clés SSH à EC2 Instance Connect.

Exemple de policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSSHPublicKey"
            ],
            "Resource": [
                "arn:aws:ec2:$REGION:$ACCOUNTID:instance/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ec2-user"
                }
            }
        }
    ]
}

Une fois cette policy créé, vous pouvez directement l’assigner à un utilisateur, un group ou un rôle qui sera assumé pour l’utilisateur IAM.

Se connecter depuis la console ou un terminal

Une fois les étapes précédentes terminées, vous êtes prêt à vous connecter à votre instance EC2 à l’aide d’Instance Connect. Vous pouvez le faire

Directement depuis la console AWS en sélectionnant l’instance puis “Connect” puis “EC2 Instance Connect”

  • En utilisant un terminal SSH avec la commande
aws ec2-instance-connect send-ssh-public-key

Concernant le username, je vous renvoie sur le précédent article de cette série où je liste les username par défaut en fonction des AMI utilisées.

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

Avec EC2 Instance Connect, la gestion des clés SSH devient plus simple et plus sécurisée, puisque celles-ci sont générées et gérées par AWS de manière éphémère. Vous pouvez ainsi vous concentrer sur votre travail et éviter les tracas liés à la gestion des clés SSH.

Ces informations sont correctes au moment de la rédaction de l’article, cependant, il est important de noter que les services AWS évoluent constamment. Il est possible que certaines fonctionnalités, noms, etc. soient différents ou aient changé depuis lors.

Communiqué de presse – Juillet 2023

Press release - July 2023

by | Jul 13, 2023 | Presse

Press release - July 2023

Swiss Expert Group SA entre au capital de eb-Qual SA et renforce son offre de cybersécurité en Suisse.

Genève, le 13 juillet 2023 – Swiss Expert Group, leader en cybersécurité et en solutions cloud, entre au capital de eb-Qual SA, une entreprise fribourgeoise spécialisée dans les solutions de sécurité informatique. Cette acquisition vient renforcer le portefeuille de services du Groupe et soutenir sa croissance en Suisse romande et en Suisse alémanique. eb-Qual SA conservera son CEO et continuera à opérer en tant que marque indépendante depuis ses bureaux de Fribourg et Zurich..

Avec cette acquisition, Swiss Expert Group poursuit son expansion, renforce sa position de leader indépendant en Suisse et compte désormais près de 100 collaborateurs répartis sur 6 sites, couvrant les cantons de Genève, Vaud, Fribourg et Zürich.

Cédric Enzler, Président du conseil d’administration de Swiss Expert Group SA, souligne que les services offerts par eb-Qual SA répondent de manière précise aux défis majeurs auxquels les entreprises suisses sont confrontées en matière de cybersécurité.

« Grâce à l’arrivée de eb-Qual SA au sein de notre groupe, nos compétences et expériences combinées nous permettront de garantir le succès de nos clients suisses dans les domaines de la sécurité informatique et de la transformation digitale. »

Cédric Enzler

CEO d’e-Xpert Solutions et Président du Conseil d’Administration de Swiss Expert Group

Fondée en 2002 à Givisiez (Fribourg), Eb-Qual SA est une entreprise familiale qui si distingue en tant qu’acteur majeur de la sécurité informatique en Suisse romande et en Suisse alémanique. La société dispose d’un portefeuille de technologies pointues qui la positionne comme un acteur de prédilection des entreprises suisses, quelle que soit leur taille.

« En rejoignant Swiss Expert Group, nous sommes ravis de concrétiser le projet initié par Jacques Macherel, notre regretté fondateur. La décision stratégique de ce partenariat témoigne de notre vision commune et de notre alignement sur une stratégie de développement à long terme, tout en préservant notre culture d’entreprise et notre ADN. », commente Hervé Ottet, CEO de eb-Qual SA. « Ce partenariat ouvre de nouvelles opportunités pour nos clients, qui bénéficieront désormais d’un portefeuille étendu de services, comprenant notamment la cybersécurité managée, le DevSecOps et les solutions Cloud. En unissant nos forces, nous visons à renforcer notre soutien avec des solutions plus complètes dans le marché en constante évolution de la sécurité numérique.»

Hervé Ottet

CEO de eb-Qual SA

À propos de Swiss Expert Group SAwww.swissexpertgroup.com  – Swiss Expert Group est un groupe natif spécialisé dans la cybersécurité et les solutions Cloud, bénéficiant de plus de 20 ans d’expérience. Il a été fondé en 2022, lorsque e-Xpert Solutions (leader en cybersécurité) et One Step Beyond (leader en solutions Cloud) ont uni leurs forces. Avec l’intégration de eb-Qual SA et la présence de bureaux à Genève, Gland, Lausanne, Givisiez, Kloten et Budapest, notre équipe compte désormais plus de 100 professionnels passionnés de cybersécurité et de Cloud. Nous collaborons avec plus de 350 clients suisses et internationaux basés en Suisse.

A propos de eb-Qual SAwww.eb-qual.ch eb-Qual est un spécialiste qui propose des services de sécurité des TIC et de réseau dans les secteurs public et privé en Suisse. Fondée en 2002, eb-Qual SA est spécialisé dans le conseil, la planification et la mise en œuvre de solutions de réseau sophistiquées pour garantir la sécurité informatique. La société, qui a des bureaux à Fribourg et à Zürich, emploie du personnel qualifié et expérimenté et choisit soigneusement les meilleures solutions disponibles sur le marché.

Contact Presse

Swiss Expert Group : Frédérique Hofmann | frederique.hofmann@swissexpertgroup.com

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

by | Jul 6, 2023 | AWS

AWS Connexion à une instance EC2 – Partie 1: Les Clés SSH

Étape 1 : Créer une instance EC2

Pour cette méthode, la première chose à faire consiste bien souvent à générer la paire de clés SSH qui va nous servir pour la connexion. Mais dans notre cas, AWS s’occupe de tout, donc nous pouvons tout de suite passer à la création de l’instance.

Lors de cette étape, il faudra sélectionner une paire de clés SSH, soit en choisissant une nouvelle paire générée par AWS, soit en utilisant une paire déjà existante, hébergée sur AWS.

Je porte votre attention sur le fait que se sera votre seule et unique chance que configurer une paire de clés SSH via la console de management AWS. Cela sous-entend que si vous oubliez ou que vous vous trompez, il faudra utiliser une autre méthode pour vous connecter à votre instance ou détruire l’instance et la recréer… Mais pas de panique, si aucune clé n’est renseignée au moment de créer l’instance, par sécurité un pop-up vous demandera d’en sélectionner une ou de volontairement choisir l’option de ne pas en utiliser.

Petit aparté : même si depuis la console de management il n’est plus possible d’ajouter des clés SSH, en vous connectant sur votre instance vous pourrez toujours en ajouter/retirer en allant voir dans le dossier “~/.ssh/authorized_keys”, comme vous le feriez sur n’importe quelle machine. Mais ce n’est pas le sujet d’aujourd’hui.

Étape 2 : IP publique

Afin de pouvoir atteindre votre instance depuis le réseau internet, il vous faudra déployer votre instance dans un subnet (sous-réseau) publique et lui associer une IP publique.

Étape 3 : Autoriser la connexion SSH

Avant toute chose revenons sur la notion de “security group”. Ces derniers sont en quelque sorte des firewalls logiciel qui par défaut bloque tout le trafic. Pour le configurer il faut choisir le port ou protocole que l’on souhaite ouvrir, la source (plage d’IPs) et ça pour le trafic entrant “inbound” et sortant “outbound” de votre instance.

Sachant que lorsque rien n’est spécifier, le trafic est bloqué, il faut ouvrir le port 22 – SSH – pour le trafic entrant (inbound). Concernant la source, les bonnes pratiques sont de limiter la plage d’IPs au maximum. Nous vous conseillons donc de mettre votre IP, ou le range de votre entreprise.

Étape 4 : Connexion

Une dernière étape est nécessaire si vous utilisez une paire de clés fraîchement générée, il faut changer les permissions sur votre clé locale afin de s’assurer qu’elle ne soit pas publiquement visible. Pour se faire lancer la commande :

chmod 400

Enfin, récupérer l’IP publique ou le DNS de la machine depuis la console de management, et lancer la connexion depuis votre client SSH préféré.

ssh -i “” @ip

Le “user” dépend de l’AMI utilisé pour lancer l’instance. Voici un tableau des principaux utilisateurs par défaut:

 

AMI  Utilisateur par défaut
Amazon Linux 2023

Amazon Linux 2

Amazon Linux

 ec2-user
CentOS centos or ec2-user
Debian admin
Fedora fedora or ec2-user
RHEL ec2-user or root
SUSE ec2-user or root
Ubuntu ubuntu
Oracle ec2-user
Bitnami bitnami
Autre Voir le fournisseur de l’AMI

 

Bonus tip

Tout ça s’est bien joli mais si la machine n’est pas exposée sur internet, elle est sur un réseau privé et n’a donc pas d’adresse IP, est-il quand-même possible de se connecter en SSH dessus ?

Bien entendu !

Une des techniques est d’utiliser une instance relai, généralement appelée “Bastion”. Cette dernière doit être déployée sur le même VPC que le machine que l’on souhaite atteindre, mais dans un subnet publique (configuré avec une internet gateway), afin de pouvoir lui attribuer une IP publique.

D’une part, créez votre bastion en suivant les étapes décrites ci-dessus.

Une fois lancé, téléchargez la clé SSH de votre instance privée, sur le bastion, en utilisant scp par exemple.

D’autre part, modifiez le security group de votre instance privée, en ouvrant le trafic entrant sur le port 22 au security group de l’instance publique. En effet sur AWS, il est possible de configurer un autre security group en source, à la place d’une IP. Cela signifie que le security group “privée” laissera passer les messages sur le port 22, en provenance des instances du security group “publique”. Cela a pour avantage de pouvoir supprimer le bastion lorsque l’on en a plus besoin, et lorsque l’on en recrée un nouveau, même si l’IP change, la connexion est toujours possible sans avoir besoin de tout reconfigurer.

Vous pouvez maintenant vous connecter à votre instance privée, en passant par le bastion. Cette technique est souvent utilisée pour se connecter aux bases de données, qui sont souvent hébergé sur des instances privées.

Ces informations sont correctes au moment de la rédaction de l’article, cependant, il est important de noter que les services AWS évoluent constamment. Il est possible que certaines fonctionnalités, noms, etc. soient différents ou aient changé depuis lors.

Communiqué de presse – Décembre 2022

Press release - December 2022

by | Dec 7, 2022 | Presse

Press release - December 2022

Un leader de la Cybersécurité s’allie à un expert du Cloud pour créer Swiss Expert Group.

Genève, le 7 décembre, 2022 – La société e-Xpert Solutions, basée à Plan-les-Ouates, et l’entreprise One Step Beyond, basée à Gland, unissent leurs forces pour créer le leader indépendant de la Cybersécurité et du Cloud en Suisse Romande. Swiss Expert Group (SEG) réunit plus de 80 experts des domaines de la Cybersécurité et des Solutions Cloud.

Il ne se passe plus une semaine sans que la presse ne se fasse l’écho d’une nouvelle attaque paralysant les utilisateurs d’une entreprise, une administration ou une institution. En Suisse, un quart des PME mentionnent avoir été victime de cyberattaques et 84% des entreprises déclarent avoir subi une ou plusieurs attaques au cours des 12 derniers mois1. Simultanément à ce risque croissant, les organisations se tournent de plus en plus vers les Solutions Cloud pour profiter de plus de flexibilité, de mobilité et mieux gérer les contraintes d’investissement. En 2021, 89% des entreprises ont une stratégie multi- Cloud, et 80% d’entre elles ont une approche hybride, contre respectivement 84% et 58% en 20182.

Le défi à relever est donc de faciliter l’accès aux données, sans pour autant faire naître des vulnérabilités et risquer d’exposer les organisations à des actions malveillantes. C’est cette équation complexe que se propose de résoudre Swiss Expert Group grâce à ses deux entités : e-Xpert Solutions et One Step Beyond.

« Lorsque l’on parle de Cloud, les questions de sécurité s’invitent rapidement dans la conversation. Notre approche unique pour répondre aux défis des organisations Suisse : la création d’un groupe spécialisé, expert et natif dans les domaines des solutions Sécurité et du Cloud. Il garantit aux entreprises et institutions de bénéficier de toute l’innovation et de l’agilité du Cloud, sans aucun compromis de sécurité, de confidentialité et de souveraineté. » 

Anees Qureshi

CEO de One Step Beyond et membre du Conseil d’Administration de Swiss Expert Group

« La cybersécurité a un rôle essentiel à jouer pour que les entreprises, en Suisse, puissent bénéficier sereinement et pleinement des nombreux avantages résultant de l’utilisation des nouvelles technologies. Nos convictions technologiques et le total alignement sur notre manière d’exercer notre métier du service, nous ont naturellement poussés à nous allier avec One Step Beyond. Regroupant plus de 80 experts hautement qualifiés et un portefeuille de service couvrant tous les aspects de la Cybersécurité et des solutions Cloud, le groupe se positionne au premier plan de l’écosystème des sociétés suisses indépendantes .»

Cédric Enzler

CEO d’e-Xpert Solutions et Président du Conseil d’Administration de Swiss Expert Group

« L’étude 2022 Cloud Security réalisée par Check Point confirme que 27% des entreprises ont connu un incident de sécurité dans leur infrastructure de cloud public. 23% de ces incidents ont été causés par de mauvaises configurations du cloud.  La Cybersécurité et le Cloud sont donc étroitement liés afin d’assurer un accompagnement optimal de nos clients. Dans un environnement technologique qui évolue extrêmement rapidement, notre mission est de permettre à nos clients de profiter d’avantages comparatifs technologiques importants… et en toute sécurité. »

Alain Pittet

Membre du Conseil d’Administration de Swiss Expert Group

Sources

  1. Etude faite par Axa Assurance en août 2022 / ICT Journal dans un article daté du 2.3.2022
  2. Flexera 2022 State of the Cloud Survey Report

Contact Presse

One Step Beyond – Frédérique Hofmann / frederique.hofmann@osb.group
e-Xpert Solutions SA – Caroline Reverchon / caroline.reverchon@e-xpertsolutions.com

A propos d’e-Xpert Solutions www.e-xpertsolutions.com – e-Xpert Solutions est une PME Suisse spécialisée dans la cybersécurité depuis plus de 20 ans. Elle propose des services dans le domaine de l’intégration, les tests d’intrusion (pentest), la réponse à incident ainsi que des services managés grâce à son Security Operating Center (SOC), 7/7 – 24/24.  E-Xpert Solutions compte plus de 40 experts en Cyber-sécurité.

A propos de One Step Beyond Group-  www.osb.group – One Step Beyond Group (OSB) est une société internationale de conseil en technologies innovantes, spécialisée dans les Solutions Cloud (Azure, GCP, AWS). OSB compte plus de 40 experts du Cloud et a été nommé partenaire Suisse de l’année par Microsoft en 2019, 2020 et 2021. 

E-XPERT CONFERENCE DAY 2021

E-XPERT CONFERENCE DAY 2021

by | Sep 2, 2021 | Évènements

E-XPERT CONFERENCE DAY 2021

e-Xpert Solutions organise pour la première fois un évènement de grande envergure où se réuniront nos ingénieurs, partenaires et clients dans le cadre exceptionnel du Fairmont Grand Hôtel @Genève.

Un moyen pour les participants de prendre conscience des grandes thématiques actuelles de la sécurité informatique et de se rencontrer entre professionnels.
Cet évènement s’organise sur une journée autour de 10 conférences. Nous clôturerons la journée autour d’un dîner convivial pour fêter les 20 ans d’e-Xpert Solutions.

En raison de la pandémie de COVID-19, nous serons attentifs au respect des gestes barrières.

Le nombre de places étant limité, nous vous invitons à remplir le formulaire ci-dessous dès que possible. Vous serez ensuite contactés par notre département Marketing afin de valider votre inscriptions.

LE PROGRAMME

09:00 – 09:15

Accueil

09:15 – 10:15

01_ Zero Trust : la sécurisation des identités

Team Sécurité Applicative

La transformation digitale a accru la complexité de l’écosystème technologique actuel. Il est donc nécessaire d’ajuster les stratégies de sécurité traditionnelles. Les contrôles doivent notamment se déplacer là où se trouvent les données !

02_ Repensez vos Firewalls : Tendance à la micro-segmentation !

Team Sécurité Infrastructure

Le concept de micro-segmentation n’est pas récent mais il suit l’évolution des infrastructures vers le Software Design. Cette solution agile permet de répondre aux nouvelles demandes du marché.

 

10:45 – 11:45

03_ DevSecOps : Automatisez la sécurité du pipeline CI/CD

Team R&D

Retours d’expériences et cas d’usage concrêts.

04_ Covid-19 et cybersécurité : Retours d’expérience

Team Veille Technologique

Retours sur plus d’ 1 an et demi d’expériences sur les architectures, les contraintes et les solutions trouvées pour permettre aux employé-e-s de travailler à distance.

 

12:00 -13:30

Lunch – Buffet léger

13:30 – 14:30

05_ Découverte de 0Day et CobaltStrike

Team Cyber Sécurité Managée

0day corner, retour sur les vulnérabiliés découvertes par notre équipe At-Defense. Plongez dans l’outils de préférence des groupes d’APT: Cobalt Strike.

06_ Les bonnes pratiques contre les fuites de données

Team Sécurité Infrastructure

Planifier et accompagner ses projets de protection contre les fuites de données nécessite une approche constructive et réfléchie. Identifier les étapes clés de ces projets au cours de cette séance.

14:45- 15:45

07_ Purple Teaming: Le nouveau service d’e-Xpert Solutions

Team Cyber Sécurité Managée

– Présentation du service  » Purple Teaming & Scanning » de vulnérabilités
– At-Defense avec EDR+
– SOAR et automatisation de la réponse à incidents.

08_ Implémentation Kerberos : Cas pratiques

Team R&D

16:00 – 17:00

09_ Sécurité défensive à grande échelle

Team At-Defense

Retours sur des réponses à incidents et Forensic de type Cryptomining et Ransomware vécues par notre équipe de sécurité défensive « AT-Defense ».

10_ Cloud, digitalisation de l’entreprise… et sécurité !

Team Sécurité Applicative

Les bonnes pratiques pour effectuer une migration vers le Cloud en toute sécurité : Office365, Teams, OneDrive, Sharepoint Online, systemes RH, ERP, etc.

18:30 – 23:00

Apéritif et dîner de Gala.
Vivez une expérience unique avec Nicolas Burri, Mentaliste, qui animera notre soirée !

en_GB
fr_FR en_GB