Sécurité
Le pilier Sécurité comprend le document pilier de la sécurité présente la capacité de protéger les données ainsi que les systèmes et les ressources à utiliser pour tirer parti des technologies du cloud et améliorer votre sécurité.
Il fournit une vue d'ensemble des principes de conception, des bonnes pratiques et des questions. Vous pouvez trouver des directives normatives sur l'implémentation dans le livre blanc Pilier Sécurité.
Principes de conception
Il existe seven principes de conception pour le pilier sécurité dans le cloud :
-
Mettre en place une identité forte: Mettez en œuvre le principe du moindre privilège et appliquez la séparation des responsabilités avec l'autorisation appropriée pour chaque interaction avec vos ressources AWS. Centralisez la gestion des identités et visez l'élimination de la dépendance aux informations d'identification statiques de longue durée.
-
Favoriser la traçabilité: Supervisez, alertez et auditez les actions et les modifications apportées à votre environnement en temps réel. Intégrez la collecte des journaux et des métriques aux systèmes pour effectuer des analyses et exécuter des actions automatiquement.
-
Appliquer la sécurité à toutes les couches: Appliquez une approche approfondie de la défense avec plusieurs contrôles de sécurité. Appliquez-la à toutes les couches (par exemple, périphérie du réseau, VPC, équilibrage de charge, chaque instance et service de calcul, système d'exploitation, application et code).
-
Automatiser les bonnes pratiques de sécurité: Les mécanismes de sécurité automatisés basés sur les logiciels améliorent votre capacité à monter en charge plus rapidement et plus économiquement, et ce en toute sécurité. Créez des architectures sécurisées, y compris avec mise en œuvre des contrôles définis et gérés en tant que code dans les modèles de contrôle de versions.
-
Protéger les données en transit et au repos: Classez vos données selon différents niveaux de sensibilité et utilisez des mécanismes, tels que le chiffrement, la création de jetons et le contrôle d'accès, le cas échéant.
-
Éviter le contact homme-données: Utilisez des mécanismes et outils pour réduire ou éliminer le besoin d'accès direct ou le traitement manuel des données. Cette approche permet de réduire les risques de mauvaise manipulation ou de modification et les erreurs humaines lors de la manipulation des données sensibles.
-
Se préparer aux événements de sécurité: Préparez-vous à un incident en mettant en œuvre une stratégie et des processus de gestion et d'investigation des incidents conformes à vos besoins d'entreprise. Exécutez des simulations de réponse aux incidents et utilisez des outils d'automatisation pour augmenter votre vitesse de détection, d'investigation et de récupération.
Définition
Il existe six domaines de bonnes pratiques pour le pilier sécurité dans le cloud :
- Sécurité
- Identity and Access Management
- Détection
- Protection de l'infrastructure
- Protection des données
- Réponse aux incidents
Vous devez mettre en place des pratiques qui influent sur la sécurité avant de concevoir l'architecture d'une charge de travail. Vous voudrez contrôler qui peut faire quoi. De plus, vous voulez être en mesure d'identifier les incidents de sécurité, de protéger vos systèmes et services, et de maintenir la confidentialité et l'intégrité des données via la protection de données. Vous devez disposer d'un processus bien défini et utilisé pour répondre aux incidents de sécurité. Ces outils et techniques sont importants, car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires.
Le modèle de responsabilité partagée AWS permet aux organisations qui adoptent le cloud d'atteindre leurs objectifs de sécurité et de conformité. Puisqu'AWS sécurise physiquement l'infrastructure qui prend en charge nos services cloud, en tant que client AWS, vous pouvez vous concentrer sur l'utilisation de services pour accomplir vos objectifs. Le cloud AWS offre également un meilleur accès aux données de sécurité et une approche automatisée pour répondre aux événements de sécurité.
Bonnes pratiques
Sécurité
Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail.
La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 1: Comment gérer votre charge de travail en toute sécurité ? |
La séparation des différentes charges de travail par compte selon leur fonction et les exigences de conformité ou de sensibilité des données est une approche recommandée dans le système AWS.
Identity and Access Management
Identity and access management est un élément essentiel d'un programme de protection des informations. En effet, il garantit que seuls les utilisateurs et les composants autorisés et authentifiés sont en mesure d'accéder à vos ressources, et uniquement comme vous le décidez. Par exemple, vous devez définir des mandataires (c'est-à-dire les comptes, les utilisateurs, les rôles et les services qui peuvent effectuer des actions dans votre compte), élaborer des stratégies conformes à ces mandataires et mettre en œuvre une gestion solide des informations d'identification. Ces éléments de gestion des privilèges constituent la base de l'authentification et de l'autorisation.
Dans AWS, la gestion des privilèges est principalement prise en charge par le service AWS Identity and Access Management (IAM), qui vous permet de contrôler l'accès de chacun, par programmation, aux services et ressources AWS. Vous devez appliquer des politiques précises qui attribuent des autorisations à un utilisateur, un groupe, un rôle ou une ressource. Vous avez également la possibilité d'exiger des pratiques de mot de passe rigoureuses, telles que le niveau de complexité, qui vous évitent de réutiliser les mêmes et permet d'appliquer l'authentification multi-facteurs (MFA). Vous pouvez utiliser la fédération avec votre service d'annuaire existant. Pour les charges de travail qui exigent des systèmes qu'ils disposent d'un accès à AWS, IAM permet un accès sécurisé via des rôles, des profils d'instance, une fédération d'identité, et des informations d'identification temporaires.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 2: Comment gérez-vous les identités des personnes et des machines ? |
| SEC 3: Comment gérez-vous les autorisations des personnes et des machines ? |
Les informations d'identification ne doivent être partagées entre aucun utilisateur ou système. L'accès utilisateur doit être accordé via une approche de moindre privilège, en suivant différentes bonnes pratiques comme les exigences de mot de passe et l'application de l'authentification multi-facteurs. L'accès par programmation, y compris les appels d'API adressés aux services AWS, doit être exécuté à l'aide d'informations d'identification temporaires et à privilèges limités, telles que celles émises par le service AWS Security Token Service.
AWS fournit des ressources qui peuvent vous aider avec Identity and Access Management. Pour vous aider à apprendre les bonnes pratiques, explorez nos ateliers sur la gestion des informations d'identification et de l'authentification, le contrôle de l'accès humain et le contrôle de l'accès par programmation.
Détection
Vous pouvez utiliser les contrôles de détection pour identifier une menace ou un incident de sécurité potentiel. Ils constituent un élément essentiel des cadres de gouvernance et peuvent être utilisés pour soutenir un processus de qualité, une obligation légale ou de conformité et pour identifier les menaces et renforcer les moyens d'intervention. Il existe différents types de contrôles de détection. Par exemple, effectuer un inventaire des ressources et de leurs attributs détaillés favorise une prise de décision plus efficace (et des contrôles du cycle de vie) pour contribuer à établir des bases de référence opérationnelles. Vous pouvez également utiliser un audit interne, un examen des contrôles liés aux systèmes d'informations, pour vous assurer que les pratiques répondent aux politiques et aux exigences, et que vous avez défini les notifications d'alerte automatique correctes en fonction des conditions définies. Ces contrôles sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée des activités anormales.
Dans AWS, vous pouvez mettre en œuvre des contrôles de détection en traitant des journaux, des événements et en supervisant ce qui permet d'effectuer des audits, des analyses automatiques et des alertes. Les journaux CloudTrail, les appels d'API AWS et CloudWatch permettent de surveiller les métriques à l'aide d'alarme et AWS Config fournit un historique de configuration. Amazon GuardDuty est un service géré de détection des menaces qui surveille en permanence les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes et charges de travail AWS. Des journaux de niveau de service sont également disponibles. Vous pouvez par exemple utiliser Amazon Simple Storage Service (Amazon S3) pour consigner les demandes d'accès.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 4: Comment détectez-vous et enquêtez-vous sur les événements de sécurité ? |
La gestion des journaux est essentielle dans le cadre d'une charge de travail well-architected, pour des raisons allant de sécurité, d'analyse ou d'exigences réglementaires ou légales. Il est essentiel que vous analysiez les fichiers journaux et que vous y répondiez pour pouvoir identifier les problèmes de sécurité éventuels. AWS fournit des fonctionnalités qui simplifient l'implémentation de la gestion des journaux en vous offrant la possibilité de définir un cycle de vie de conservation des données ou de définir à quel emplacement les données seront conservées, archivées ou éventuellement supprimées. La gestion des données fiables et prévisibles en devient plus simple et plus économique.
Protection de l'infrastructure
La protection de l'infrastructure comprend des méthodologies de contrôle, telles que la défense en profondeur, nécessaires au respect des bonnes pratiques et des obligations organisationnelles ou réglementaires. L'utilisation de ces méthodologies est essentielle au succès des opérations en cours, que ce soit dans le cloud ou sur site.
Dans AWS, vous pouvez implémenter une inspection des paquets avec état et sans état, en utilisant des technologies AWS natives ou des produits et services partenaires disponibles via AWS Marketplace. Vous devez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer un environnement privé, sécurisé et scalable dans lequel vous pouvez définir votre topologie, notamment les passerelles, les tables de routage et les sous-réseaux publics et privés.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 5: Comment protégez-vous vos ressources réseau ? |
| SEC 6: De quelle façon pouvez-vous assurer la protection de vos ressources de calcul ? |
Plusieurs couches de défense sont conseillées dans tout type d'environnement. Dans le cas de la protection de l'infrastructure, la plupart des concepts et méthodes sont valides pour les modèles cloud et sur site. L'application d'une protection de la périphérie, la surveillance des points d'entrée et de sortie, la journalisation complète, la supervision et les alertes, sont toutes essentielles à un plan de sécurité de l'information efficace.
Les clients AWS peuvent personnaliser ou renforcer la configuration d'Amazon Elastic Compute Cloud (Amazon EC2), d'un conteneur Amazon EC2 Container Service (Amazon ECS), ou d'une instance AWS Elastic Beanstalk, et maintenir de façon persistante cette configuration dans une image AMI (Amazon Machine Image) immuable. Puis, qu'ils soient déclenchés par Auto Scaling ou lancés manuellement, tous les nouveaux serveurs virtuels (instances) lancés avec cet AMI reçoivent la configuration renforcée.
Protection des données
Avant de concevoir l'architecture d'un système, les pratiques de base qui influent sur la sécurité doivent être en place. Par exemple, la classification des données permet de classer les données organisationnelles en fonction des niveaux de sensibilité, et le chiffrement protège les données en les rendant incompréhensibles en cas d'accès non autorisé. Ces outils et techniques sont importants, car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires.
Dans AWS, les pratiques suivantes facilitent la protection des données :
-
En tant que client AWS, vous conservez un contrôle total sur vos données.
-
AWS facilite le chiffrement de vos données et la gestion des clés, y compris la rotation régulière des clés, qui peut être facilement automatisée par AWS ou gérée par vous-même.
-
La journalisation détaillée qui contient des informations importantes, telles que l'accès aux fichiers et les modifications apportées, est disponible.
-
AWS a conçu des systèmes de stockage pour une résilience exceptionnelle. Par exemple, Amazon S3 Standard, S3 Standard-IA, S3 One Zone-IA et Amazon Glacier sont tous conçus pour fournir une durabilité des objets de 99,999999999 % sur une période d'un an. Ce niveau de durabilité correspond à une perte moyenne annuelle de 0,000000001 % des objets.
-
La gestion des versions, qui peut faire partie d'un processus de gestion du cycle de vie des données plus étendu, assure une protection contre les remplacements ou suppressions accidentels, et dommages similaires.
-
AWS n'initie jamais de transfert de données entre les régions. Le contenu affecté à une région restera dans celle-ci, à moins que vous n'activiez explicitement une fonction ou que vous exploitiez un service qui fournit cette fonctionnalité.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 7: Comment classer vos données ? |
| SEC 8: Comment protéger les données au repos ? |
| SEC 9: Comment protéger vos données en transit ? |
AWS fournit plusieurs moyens de chiffrement des données au repos et en transit. Nous intégrons à nos services des fonctionnalités qui facilitent le chiffrement de vos données. Par exemple, nous avons implémenté le chiffrement côté serveur (SSE) d'Amazon S3 afin de faciliter le stockage de vos données sous une forme chiffrée. Vous pouvez aussi prendre les dispositions nécessaires pour que la totalité du processus de chiffrement et de déchiffrement HTTPS (généralement appelé terminaison SSL) soit gérée par Elastic Load Balancing (ELB).
Réponse aux incidents
Même avec des contrôles de détection et de prévention extrêmement matures, votre organisation doit toujours mettre en place des processus pour répondre et atténuer l'impact potentiel d'incidents de sécurité. L'architecture de votre charge de travail affecte fortement la capacité de vos équipes à fonctionner efficacement lors d'un incident, à isoler ou à contenir des systèmes et à restaurer les opérations dans un état correct connu. La mise en place des outils et des accès en amont d'un incident de sécurité puis la mise en pratique régulière des procédure de réponse aux incidents pendant des journées de jeu de rôle vous aideront à vous assurer que votre architecture peut répondre rapidement à des investigations et des restaurations rapides.
Dans AWS, les pratiques suivantes facilitent la réaction efficace face aux incidents :
-
La journalisation détaillée est disponible et contient des informations importantes, telles que les accès aux fichiers et les modifications.
-
Les événements peuvent être traités automatiquement et déclencher des outils qui automatisent les réponses via l'utilisation d'API AWS.
-
Vous pouvez préprovisionner des outils et un espace net à l'aide d'AWS CloudFormation. Cela vous permet d'effectuer des analyses dans un environnement sécurisé et isolé.
Les questions suivantes sont axées sur ces quelques considérations relatives au pilier sécurité.
| SEC 10: Comment anticipez-vous les incidents, y répondez et y parvenez-vous ? |
Assurez-vous de disposer d'un moyen permettant d'accorder rapidement l'accès à votre équipe de sécurité. Automatisez également l'isolation des instances ainsi que la saisie de données et l'état des analyses.
Ressources
Consultez les ressources suivantes pour en savoir plus sur nos bonnes pratiques relatives au pilier Sécurité.
Security PillarAWS Cloud Security
AWS Compliance
AWS Security Blog
AWS Security Overview
AWS Security Best Practices
AWS Risk and Compliance
AWS Security State of the Union
Shared Responsibility Overview