Home Technologie et scienceAWS présente l’attestation d’instance EC2

AWS présente l’attestation d’instance EC2

by Thomas Caron

Publié le 18 octobre 2025 à 13h05. Amazon Web Services (AWS) renforce la sécurité de ses instances EC2 avec une nouvelle fonctionnalité d’attestation, permettant aux clients de vérifier l’intégrité logicielle de leurs machines virtuelles et de répondre aux exigences de conformité les plus strictes.

  • AWS lance l’attestation d’instance EC2, une fonctionnalité de sécurité basée sur le module Nitro Trusted Platform (NitroTPM) et les AMI attestables.
  • Cette nouvelle capacité permet de vérifier cryptographiquement que les instances EC2 exécutent des configurations logicielles approuvées.
  • L’attestation d’instance EC2 est disponible dès maintenant dans toutes les régions AWS sans frais supplémentaires pour la fonctionnalité elle-même.

Avec l’attestation d’instance EC2, AWS offre aux entreprises un moyen de s’assurer que leurs environnements de cloud sont conformes à leurs politiques de sécurité et aux réglementations en vigueur. Auparavant, il était possible de restreindre l’accès des opérateurs aux instances EC2, mais il manquait un mécanisme pour vérifier que ces restrictions étaient effectivement appliquées. « Grâce à cette capacité, les clients pourront utiliser tout le potentiel des instances EC2 basées sur Nitro, y compris les réseaux hautes performances et le matériel d’accélération de l’IA, tout en plaçant la barre plus haut en matière de paradigmes informatiques fiables tels que le calcul multipartite », explique JD Bean, architecte de sécurité principal chez AWS.

Cette fonctionnalité s’inspire des Enclaves Nitro, une technologie déjà disponible sur AWS, et étend ses protections aux instances EC2 standard. Selon JD Bean, cette nouvelle version fournit aux clients les outils nécessaires pour créer des Amazon Machine Images (AMI) renforcées et contraintes, conçues pour un accès zéro opérateur et une assurance élevée. Ces AMI attestables peuvent fournir une preuve aux systèmes externes du contenu du système, facilitant ainsi les décisions d’authentification et d’autorisation.

Une AMI attestable est une AMI associée à un hachage cryptographique qui représente l’intégralité de son contenu. Ce hachage est généré lors de la création de l’AMI et prend en compte toutes les applications, le code et le processus de démarrage. Grâce à cette attestation, les clés et autres secrets peuvent être déchiffrés à l’aide d’AWS Key Management Service (KMS) uniquement par les instances EC2 exécutant une AMI approuvée. Les organisations peuvent également créer une autorité de certification (CA) qui délivre des certificats uniquement aux instances vérifiées comme exécutant des AMI approuvées.

L’annonce a suscité des réactions diverses dans la communauté des experts en sécurité. Sur un fil de discussion sur Hacker News, un utilisateur nommé gigawatts s’est interrogé sur l’adoption de cette fonctionnalité : « C’est pour qui ? Je ne connais aucun client aussi paranoïaque mais qui fait également confiance au cloud public. » Corey Quinn, économiste en chef du cloud chez The Duckbill Group, a commenté : « Ceci est utile pour les personnes qui font confiance à leurs fournisseurs de cloud, mais qui ne font pas non plus confiance à leurs fournisseurs de cloud dans des combinaisons très spécifiques. »

Cependant, Yan Cui, AWS Hero et expert sans serveur, souligne l’importance de cette fonctionnalité pour certains cas d’utilisation, notamment dans le domaine du SaaS d’entreprise et de la conformité. « De nombreuses entreprises préfèrent exécuter le logiciel SaaS en interne afin que leurs données sensibles ne quittent pas leur réseau. Mais le fournisseur SaaS n’a alors aucun moyen de protéger sa propriété intellectuelle, le logiciel. Avec des AMI attestables, le fournisseur SaaS peut publier une AMI avec son logiciel (par exemple, un modèle d’IA). Les clients peuvent lancer des instances EC2 à partir de l’image et exécuter le logiciel, mais ne peuvent pas accéder à son contenu. »

AWS n’est pas le seul fournisseur de cloud à proposer des fonctionnalités d’attestation. Google Cloud et Azure offrent également des capacités similaires.

Un guide d’utilisation est disponible pour créer une AMI certifiée Amazon Linux 2023 à l’aide de KIWI Nouvelle Génération, un outil open source permettant de créer des images Linux préconfigurées.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.