Skip to content

Une nouvelle VM a été lancée avec SSH (22) et RDP (3389) ouverts sur 0.0.0.0/0. Quelle est la bonne remédiation ?

Réponse courte

Les ports d'administration ouverts à tout Internet sont scannés et attaqués par force brute en quelques minutes ; la solution consiste à réduire la surface d'attaque : restreindre l'ingress du security group à des CIDR d'administration connus ou au VPN, ou supprimer entièrement l'entrant à l'aide d'un bastion ou de SSM Session Manager. Déplacer SSH sur un port non standard est une sécurité par l'obscurité que les scanners contournent trivialement. Un mot de passe plus fort ne réduit pas la surface exposée et n'arrête pas le credential stuffing. Se fier à un pare-feu hôte ignore la surface d'attaque que le security group annonce ouvertement à Internet.

Les ports d'administration ouverts sur 0.0.0.0/0 font partie des erreurs de configuration cloud les plus exploitées. L'examinateur veut voir que vous réduisez la surface d'attaque elle-même, et pas seulement que vous rendez la surface exposée un peu plus difficile à abuser.

Pourquoi restreindre l'ingress est la bonne réponse

Internet est scanné en continu ; une nouvelle VM avec 22 et 3389 ouverts au monde verra des tentatives de force brute et de credential stuffing en quelques minutes. La bonne solution consiste à cesser d'annoncer ces ports à tout le monde. Restreignez l'ingress du security group à un petit ensemble de CIDR d'administration de confiance ou à une plage VPN, ou — mieux — supprimez entièrement l'accès d'administration entrant et atteignez l'hôte via un bastion ou AWS SSM Session Manager. SSM est particulièrement solide car il n'a besoin d'aucun port entrant ouvert : l'accès passe par l'API AWS avec autorisation IAM et journalisation d'audit complète.

Pourquoi les distracteurs échouent

  • Déplacer SSH sur un port non standard. C'est de la sécurité par l'obscurité. Les scanners de masse balaient tous les ports, donc le service est trouvé en quelques secondes ; vous n'avez rien gagné de réel tout en compliquant l'exploitation.
  • Définir un mot de passe plus fort. Un meilleur mot de passe peut ralentir un vecteur de force brute, mais le port reste ouvert à tout Internet, attire toujours un trafic constant et reste exposé à toute future vulnérabilité d'authentification ou fuite de clé/mot de passe. Cela traite un problème d'exposition réseau comme un problème d'identifiants.
  • Laisser ainsi — la VM a un pare-feu hôte. Se fier à un pare-feu hôte pendant que le security group cloud annonce le port au monde, c'est de la défense en profondeur à l'envers : un pare-feu hôte mal configuré, et vous êtes totalement exposé. Fermez-le au bord du réseau.

Ce que recherchent les examinateurs

Nommer le security group comme contrôle, restreindre les CIDR sources, et idéalement éliminer le port ouvert avec un bastion ou SSM. Les bons candidats mentionnent aussi de trouver tous les security groups fautifs à l'échelle de l'organisation, car une VM ouverte signifie généralement que le garde-fou (une SCP ou une règle Config bloquant 0.0.0.0/0 sur 22/3389) est manquant.

Questions de suivi probables

  • Pourquoi SSM Session Manager est-il souvent meilleur que même un bastion verrouillé ?
  • Comment trouveriez-vous chaque security group exposant 22 ou 3389 sur 0.0.0.0/0 à l'échelle de l'organisation ?
  • Contre quoi un mot de passe plus fort échoue-t-il à protéger ici ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.