Une instance compromise hérite des accès qu'on lui a confiés : c'est souvent le point de pivot d'un attaquant vers le reste du cloud. Cette famille durcit la couche de calcul. Chaque instance porte un groupe de sécurité restrictif (refus par défaut) ; les métadonnées d'instance sont protégées par IMDSv2 (ou bloquées pour les charges qui n'en ont pas besoin), car c'est par l'IMDS qu'une SSRF vole les droits cloud (cas Capital One) ; le rôle d'instance est réduit au strict minimum et aucun secret ne traîne en clair dans les user-data ; les environnements de production et de développement sont séparés ; et l'administration se fait depuis des terminaux dédiés et durcis (OS, hyperviseur, plan de contrôle selon CIS/ANSSI).
Concrètement, ces exigences parent : le vol des droits cloud d'une instance via l'IMDS, l'évasion vers l'hôte d'un composant non durci, le secret en clair dans les user-data, et la contamination de la production par un environnement de dev mal séparé. Des fondamentales (R1) aux renforcées (R2).
Des métadonnées d'instance accessibles permettent de voler des credentials cloud.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »chaque instance est associée à un groupe de sécurité restrictif (refus par défaut).#
Une instance sans groupe de sécurité restrictif hérite d'un filtrage permissif et s'expose au-delà du nécessaire. Associer à chaque instance un groupe restrictif (refus par défaut) garantit qu'elle n'accepte que les flux explicitement autorisés, appliquant le moindre privilège réseau au niveau de chaque machine.
- Preuve attendue
- Chaque instance porte un groupe de sécurité ; refus par défaut vérifié.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
métadonnées d'instance (IMDS) protégées : IMDSv2 imposé (hop limit à 1, IMDSv1 désactivé) là où il existe ; à défaut, blocage réseau de l'IMDS pour les charges sans besoin.#
L'attaque Capital One (2019) a volé des identifiants via une SSRF atteignant l'IMDSv1. Imposer IMDSv2 (hop limit à 1, IMDSv1 désactivé), ou bloquer l'IMDS pour les charges qui n'en ont pas besoin, ferme ce chemin par lequel une faille applicative se transforme en vol des droits cloud de l'instance.
- Preuve attendue
- Selon le cloud : IMDSv2+hop limit (AWS) ou blocage réseau IMDS + rôle minimal (Outscale) ; pas de secret en user-data. Réf. references/standards/metadata-cloud.md.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 2 menaces
Un job de build atteint le service de métadonnées d'instance (IMDS) pour récupérer les identifiants de rôle de la machine et pivoter vers le cloud. Sans IMDSv2 ni blocage réseau, le pipeline hérite des droits de l'hôte (ATT&CK T1552.005) CICD-SEC-7 ATT&CK T1552.005. Depuis un cluster Kubernetes, l'attaquant pivote vers le plan cloud sous-jacent via l'IMDS ou des identités de nœud, étendant l'accès au tenant. La frontière cluster / cloud est un chemin d'escalade (OWASP K08, ATT&CK T1552.005) OWASP Kubernetes K08 ATT&CK T1552.005.
séparation des environnements de production et de développement/hors-production.#
Mélanger production et développement laisse une faille de test ou un accès large de dev atteindre les données réelles. Séparer les environnements contient les erreurs et compromissions hors-prod loin de la production : un bac à sable cassé ne met plus en jeu les données et services critiques.
- Preuve attendue
- Environnements de production et de développement séparés (logiquement ou physiquement).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
L'attaquant modifie la configuration du compute (images, instances, groupes) pour persister ou affaiblir la posture. L'infrastructure mutable devient un point d'ancrage (ATT&CK T1578) ATT&CK T1578.002 ATT&CK T1578.005.
mesures de détection, prévention et remédiation des codes malveillants, couvrant les postes et les flux entrants.#
Un code malveillant introduit par un poste ou un flux entrant se propage faute de détection. Des mesures de détection, prévention et remédiation couvrant postes et flux entrants attrapent ces charges avant qu'elles ne s'installent, là où les arrêter coûte un nettoyage plutôt qu'une crise.
- Preuve attendue
- Protection anti-codes malveillants déployée (postes + flux entrants).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Un conteneur malveillant est déployé dans le cluster ou le service cloud pour exécuter du code dans le périmètre de confiance. Les droits de déploiement détournés introduisent la charge (ATT&CK T1610) ATT&CK T1610.
veille et suivi des vulnérabilités des logiciels et systèmes ; évaluation de l'exposition et traitement du risque.#
Une CVE publiée sur un logiciel déployé devient exploitable dès qu'elle est connue des attaquants. Suivre les vulnérabilités, évaluer l'exposition et traiter le risque permet de patcher ou contourner avant l'exploitation, transformant une alerte en action plutôt qu'en intrusion subie.
- Preuve attendue
- Processus de veille vulnérabilités ; exposition évaluée et traitée.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
tâches d'administration réalisées depuis des terminaux dédiés et durcis, réservés à cet usage.#
Administrer depuis un poste polyvalent (mail, navigation) expose les accès privilégiés au malware de bureautique. Réaliser l'administration depuis des terminaux dédiés et durcis, réservés à cet usage, isole les opérations sensibles du risque quotidien : le compromis d'un poste courant n'atteint plus le plan d'administration.
- Preuve attendue
- Postes d'administration dédiés et durcis (conformes [NT_ADMIN]).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
durcissement de l'OS hôte/invité, de l'hyperviseur et du plan de contrôle selon les bonnes pratiques (CIS / ANSSI).#
Des composants aux réglages par défaut exposent des services et options dangereux. Durcir OS hôte et invité, hyperviseur et plan de contrôle selon CIS/ANSSI réduit la surface d'attaque de la pile d'exécution sur une base mesurable, plutôt que de laisser chaque couche dans sa configuration d'usine permissive.
- Preuve attendue
- Configuration durcie (OS/hyperviseur/plan de contrôle) vérifiée selon référentiel (CIS/ANSSI).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 3 menaces
L'attaquant modifie la configuration du compute (images, instances, groupes) pour persister ou affaiblir la posture. L'infrastructure mutable devient un point d'ancrage (ATT&CK T1578) ATT&CK T1578.002 ATT&CK T1578.005. Un conteneur exploite une mauvaise configuration ou une faille pour s'échapper vers le nœud hôte du cluster et atteindre d'autres charges. Le cloisonnement du cluster est rompu (ATT&CK T1611) ATT&CK T1611. Un attaquant ayant obtenu l'exécution sur un hôte implante une persistance furtive au niveau du noyau ou du système : programme eBPF malveillant, extension système (systemd-sysext), module noyau ou hook de chargement. Le code survit aux redéploiements applicatifs, masque ses processus et connexions, et intercepte secrets et trafic. Les contrôles applicatifs et l'analyse d'image ne le voient pas : il vit sous la charge de travail, dans le plan hôte MITRE ATT&CK T1014 MITRE ATT&CK T1547.006 CNCF Runtime.
rôle d'instance (identité machine cloud) au strict minimum de privilèges.#
Une instance compromise hérite des droits de son rôle : trop larges, ils ouvrent l'accès à tout le compte (cf. Capital One). Limiter le rôle d'instance au strict minimum garantit qu'une charge piégée n'atteint que les ressources strictement nécessaires à sa fonction, pas le reste de l'infrastructure.
- Preuve attendue
- Revue des rôles d'instance ; absence de droits larges.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 2 menaces
Un job de build atteint le service de métadonnées d'instance (IMDS) pour récupérer les identifiants de rôle de la machine et pivoter vers le cloud. Sans IMDSv2 ni blocage réseau, le pipeline hérite des droits de l'hôte (ATT&CK T1552.005) CICD-SEC-7 ATT&CK T1552.005. Depuis un cluster Kubernetes, l'attaquant pivote vers le plan cloud sous-jacent via l'IMDS ou des identités de nœud, étendant l'accès au tenant. La frontière cluster / cloud est un chemin d'escalade (OWASP K08, ATT&CK T1552.005) OWASP Kubernetes K08 ATT&CK T1552.005.
aucun secret en clair dans les user-data des instances.#
Les user-data d'une instance sont souvent lisibles via l'IMDS et figurent dans la configuration : un secret qui y traîne est trivialement récupérable. Bannir les secrets en clair des user-data, au profit d'un coffre, supprime une fuite classique exploitée dès qu'on accède aux métadonnées.
- Preuve attendue
- Inspection des user-data ; aucun secret présent.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Un job de build atteint le service de métadonnées d'instance (IMDS) pour récupérer les identifiants de rôle de la machine et pivoter vers le cloud. Sans IMDSv2 ni blocage réseau, le pipeline hérite des droits de l'hôte (ATT&CK T1552.005) CICD-SEC-7 ATT&CK T1552.005.