Confiance et contrôle

Détecter en lecture seule, autoriser l'action séparément

Wasteless sépare l'observation AWS de la remédiation. Cette frontière réduit le pouvoir accordé pendant l'évaluation et rend chaque extension d'accès explicite.

Vérifié avec le code du produit11 minSécurité cloud et CTO

Deux rôles, deux responsabilités

RôleObligatoireResponsabilité
wasteless-readonlyOuiDescribe, Get et List pour collecter et détecter
wasteless-remediationNonActions AWS explicitement autorisées par la politique
  • Les écritures échouent si AWS_WRITE_ROLE_ARN n'est pas configuré.

  • Les sessions STS sont temporaires et identifiables dans CloudTrail.

  • L'ExternalId est recommandé lorsque l'appelant se trouve dans un autre compte.

  • Les identifiants source suivent la chaîne AWS standard et doivent seulement pouvoir assumer les rôles.

Des contrôles adaptés au chemin d'action

Le dry-run est actif par défaut et l'auto-remédiation est désactivée par défaut. Whitelist, score de confiance, horaires autorisés, limites de débit et préconditions de ressource complètent la politique selon le type d'action.

ActionExécutionRetour arrière
Arrêter EC2AWS directRedémarrage possible
Terminer EC2AWS directDestructif
Supprimer EBSRemédiateur avec snapshot préalableRecréation manuelle depuis le snapshot
Migrer gp2 vers gp3RemédiateurPas de rollback automatique
Supprimer NAT ou load balancerRemédiateurDestructif
Downsize, snapshot, EIP, VPCManuelDépend du runbook externe

Données, audit et couche LLM

  • L'inventaire, les recommandations et l'historique restent dans votre PostgreSQL auto-hébergé.

  • Les actions et changements d'état alimentent une piste d'audit.

  • Le LLM est optionnel, appelé via LiteLLM et ne décide, n'autorise ni n'exécute une action.

  • Un modèle hébergé reçoit le contexte envoyé dans le prompt. Ollama permet une exécution locale si cette configuration correspond à votre politique.

Protégez l'interface en production

  • Ports 8888 et 5432 non exposés
  • TLS valide et contrôle d'accès testé
  • Rôle de remédiation absent quand il n'est pas nécessaire
  • Auto-remédiation désactivée pendant l'évaluation
  • Steampipe aligné sur le rôle de lecture
  • Secrets hors Git et permissions de fichiers restreintes
  • CloudTrail et logs Wasteless conservés selon votre politique

Frontière de responsabilité

Wasteless fournitVotre équipe configure
Rôles séparés et échec fermé des écrituresPrincipal de confiance, ExternalId et portée IAM
Dry-run et politiques d'actionActions activées, whitelist, horaires et seuils
Historique applicatifRétention, sauvegarde, accès et corrélation CloudTrail
Écoute loopback par défautProxy, authentification, VPN, TLS et firewall
Voir la source sur GitHub