Publié le 2025-10-18 15:05:00. Amazon Web Services (AWS) lance une nouvelle fonctionnalité de sécurité pour ses instances EC2, baptisée « EC2 Instance Attestation ». Ce système permet aux clients de vérifier de manière cryptographique que leurs machines virtuelles fonctionnent avec des configurations logicielles approuvées, renforçant ainsi la confiance dans les environnements cloud.
- La fonction « EC2 Instance Attestation » utilise le module Nitro Trusted Platform (NitroTPM) et des AMI (Amazon Machine Images) attestables pour garantir l’intégrité logicielle des instances EC2.
- Elle étend les protections offertes précédemment par les Nitro Enclaves aux instances EC2 standard, offrant une assurance accrue contre les accès non autorisés ou les modifications non désirées.
- Les organisations peuvent désormais déchiffrer des clés et des secrets via AWS Key Management Service (KMS) uniquement sur des instances EC2 exécutant des AMI validées, et établir leurs propres autorités de certification pour délivrer des certificats aux instances vérifiées.
AWS annonce ce jeudi une avancée significative dans le domaine de la sécurité pour ses services de cloud computing avec le déploiement de l’attestation d’instance EC2. Cette nouvelle fonctionnalité vise à répondre aux exigences de sécurité et de conformité les plus strictes des entreprises, en leur fournissant un moyen cryptographiquement sûr de confirmer que leurs machines virtuelles fonctionnent avec un logiciel de confiance. Jusqu’à présent, bien qu’il fût possible de limiter l’accès des opérateurs aux instances EC2, il manquait un mécanisme fiable pour attester de cette restriction.
JD Bean, architecte de sécurité principal chez AWS, souligne le potentiel de cette innovation : « Grâce à cette capacité, les clients pourront exploiter tout le potentiel des instances EC2 basées sur Nitro, y compris les réseaux haute performance et le matériel d’accélération de l’IA, tout en élevant le niveau des paradigmes de calcul de confiance comme le calcul multipartite. » Cette fonctionnalité s’apparente à ce qui était déjà disponible pour les Nitro Enclaves, mais est désormais étendue aux instances EC2 classiques.
La clé de cette nouvelle approche réside dans les « AMI attestables ». Il s’agit d’images de système d’exploitation préconfigurées pour lesquelles un hachage cryptographique unique est généré au moment de leur création. Ce hachage représente l’intégralité du contenu de l’AMI, y compris les applications et le processus de démarrage. Une fois cette image déployée, les clients peuvent vérifier que l’instance en cours d’exécution correspond bien à l’AMI approuvée et sécurisée.
« Cette version fournit des outils et des interfaces permettant aux clients de créer des Amazon Machine Images (AMI) renforcées et contraintes, conçues pour un accès zéro opérateur et une assurance élevée. Ces AMI attestables peuvent fournir une preuve aux systèmes externes du contenu du système pour éclairer les décisions d’authentification et d’autorisation », explique JD Bean.
Cette capacité ouvre de nouvelles perspectives pour la gestion des secrets et des autorisations. Les clés et autres informations sensibles peuvent être sécurisées de manière à n’être accessibles que par des instances EC2 exécutant des AMI certifiées, via le service AWS Key Management Service (KMS). De plus, les entreprises peuvent mettre en place leur propre autorité de certification (CA) pour délivrer des certificats uniquement aux instances qui ont passé avec succès le processus de vérification de l’AMI.
L’annonce a suscité des discussions sur des plateformes spécialisées. Sur un fil de discussion populaire, certains utilisateurs ont exprimé des interrogations quant à l’adoption à grande échelle de cette technologie. L’utilisateur gigawatts a commenté : « C’est pour qui ? Je ne connais aucun client aussi paranoïaque mais qui fait également confiance au cloud public. » Corey Quinn, économiste en chef du cloud chez The Duckbill Group, a nuancé ce point de vue : « Ceci est utile pour les personnes qui font confiance à leurs fournisseurs de cloud, mais qui ne font pas non plus confiance à leurs fournisseurs de cloud dans des combinaisons très spécifiques. »
Yan Cui, AWS Hero et expert en solutions sans serveur, voit un potentiel particulier pour certains secteurs : « L’attestation d’instance EC2 change la donne pour certains cas d’utilisation autour du SaaS d’entreprise et de la conformité. De nombreuses entreprises préfèrent exécuter le logiciel SaaS en interne afin que leurs données sensibles ne quittent pas leur réseau. Mais le fournisseur SaaS n’a alors aucun moyen de protéger sa propriété intellectuelle, le logiciel. Avec des AMI attestables, le fournisseur SaaS peut publier une AMI avec son logiciel (par exemple, un modèle d’IA). Les clients peuvent lancer des instances EC2 à partir de l’image et exécuter le logiciel, mais ne peuvent pas accéder à son contenu. »
AWS n’est pas le seul acteur majeur du cloud à proposer de telles capacités. Google Cloud et Azure offrent également des fonctionnalités d’attestation similaires pour garantir l’intégrité des environnements virtuels.
L’attestation d’instance EC2 est disponible dès maintenant dans toutes les régions AWS, sans coût additionnel pour la fonctionnalité elle-même. Des frais de stockage standard s’appliquent pour les AMI, et la tarification AWS KMS s’applique aux opérations liées à l’utilisation du service de gestion des clés.
Un guide d’utilisation est disponible pour aider à la création d’une AMI certifiée Amazon Linux 2023 à l’aide de KIWI NG (Next Generation), un outil open source dédié à la création d’images Linux préconfigurées.