SEC 1: Comment gérer votre charge de travail en toute sécurité ?

Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité.

Ressources

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Bonnes pratiques:

• Séparez les charges de travail à l'aide de comptes: Organisez les charges de travail dans des comptes et des comptes de groupe distincts selon la fonction ou les contrôles en commun, plutôt que de mettre en miroir la structure de rapport de votre entreprise. Privilégiez la sécurité et l'infrastructure afin de définir pour votre organisation des protections communes au fur et à mesure que vos charges de travail augmentent.

• Sécurisez le compte AWS: Sécurisez l'accès à vos comptes, par exemple en activant la MFA (Multi-Factor Authentication) et en limitant l'utilisation de l'utilisateur racine, et configurez les contacts des comptes.

• Identifier et valider les objectifs de contrôle: Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l'efficacité de l'atténuation des risques.

• Connaître les menaces de sécurité nouvelles: Identifiez les vecteurs d'attaque en restant informé des dernières menaces de sécurité afin de définir et de mettre en œuvre les contrôles appropriés.

• Connaître les recommandations de sécurité: Tenez-vous au courant des recommandations d'AWS et du secteur en matière de sécurité pour faire évoluer la posture de sécurité de votre charge de travail.

• Automatiser les tests et la validation des contrôles de sécurité dans les pipelines: Établissez des bases et des modèles sécurisés pour les mécanismes de sécurité qui sont testés et validés dans le cadre de votre version, de vos pipelines et de vos processus. Utilisez des outils et l'automatisation pour tester et valider en continu tous les contrôles de sécurité. Par exemple, analysez des éléments tels que les images machine et l'infrastructure en tant que modèles de code pour détecter les failles, les irrégularités et les dérives de sécurité par rapport à une référence de base établie à chaque étape.

• Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces: Utilisez un modèle de menaces afin d'identifier et de maintenir à jour un registre des menaces potentielles. Hiérarchisez vos menaces et adaptez vos contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de l'évolution de l'environnement de sécurité.

• Évaluer et mettre en œuvre régulièrement de nouveaux services et fonctions de sécurité: AWS et les partenaires APN publient constamment de nouvelles fonctions et services qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail.

Plan d'amélioration

Séparez les charges de travail à l'aide de comptes

Utilisez AWS Organizations: Utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des stratégies pour différents comptes AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Envisagez d'utiliser AWS Control Tower: AWS Control Tower offre un moyen simple de configurer et de gérer un nouvel environnement AWS sécurisé à plusieurs comptes sur la base de bonnes pratiques.
AWS Control Tower

Sécurisez le compte AWS

Utilisez AWS Organizations: Utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des stratégies pour différents comptes AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Limiter l'utilisation de l'utilisateur racine AWS: Utilisez l'utilisateur racine uniquement pour effectuer des tâches qui le nécessitent spécifiquement.
AWS Tasks That Require AWS Account Root User Credentials

Activer la fonction MFA pour l'utilisateur racine: Activez la fonction MFA sur l'utilisateur racine du compte AWS si AWS Organizations ne gère pas les utilisateurs racines pour vous.
Lab: AWS account and root user
Root user

Changer régulièrement le mot de passe de l'utilisateur racine: La modification du mot de passe de l'utilisateur racine réduit le risque qu'un mot de passe enregistré puisse être réutilisé. Ceci est particulièrement important si vous n'utilisez pas AWS Organizations et que l'accès physique est ouvert.
Changing the AWS account root user password

Activer la notification lorsque l'utilisateur racine du compte AWS est utilisé: La notification réduit automatiquement les risques.
How to receive notifications when your AWS account's root access keys are used

Appliquez des restrictions d'accès aux régions nouvellement ajoutées.: Pour les nouvelles régions AWS, les ressources IAM comme les utilisateurs et les rôles seront uniquement propagées vers les régions que vous activez.
Setting permissions to enable accounts for upcoming AWS Regions

Envisagez d'utiliser CloudFormation StackSets: CloudFormation StackSets peut être utilisé pour déployer des ressources – y compris les stratégies, rôles et groupes IAM – dans différents comptes et régions AWS à partir d'un modèle approuvé.
Use CloudFormation StackSets

Identifier et valider les objectifs de contrôle

Identifier des exigences de conformité: Découvrez les exigences organisationnelles, juridiques et de conformité que votre charge de travail doit nécessairement respecter.

Identifier des ressources de conformité AWS: Identifiez les ressources que propose AWS pour vous aider à rester conforme.
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

Connaître les menaces de sécurité nouvelles

S'abonner aux sources d'informations sur les menaces: Consultez régulièrement les informations sur les menaces dans plusieurs sources pertinentes pour les technologies utilisées dans votre charge de travail.
Common Vulnerabilities and Exposures List

Envisager l'utilisation du service AWS Shield Advanced: AWS Shield Advanced offre une visibilité quasiment en temps réel sur les sources d'informations si votre charge de travail est accessible sur Internet.
AWS Shield

Connaître les recommandations de sécurité

Suivre les mises à jour AWS: Abonnez-vous ou consultez régulièrement de nouvelles recommandations, astuces et astuces.
AWS Well-Architected Labs
AWS security blog
AWS service documentation

S'abonner aux sources de l'actualité sur le secteur: Consultez régulièrement les flux d'actualités issus de plusieurs sources pertinentes pour les technologies qui sont utilisées dans votre charge de travail.
Example: Common Vulnerabilities and Exposures List

Automatiser les tests et la validation des contrôles de sécurité dans les pipelines

Automatiser la gestion de la configuration: Appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces

Créer un modèle de menaces: Un modèle de menaces peut vous aider à identifier les menaces de sécurité potentielles et y faire face.
NIST: Guide to Data-Centric System Threat Modeling

Évaluer et mettre en œuvre régulièrement de nouveaux services et fonctions de sécurité

Planifier des évaluations régulières: Créez un calendrier d'activités de révision qui inclut les exigences de conformité, l'évaluation des nouvelles fonctionnalités et services de sécurité AWS et le fait de rester informé des actualités du secteur.

Découvrir les services et fonctions AWS: Découvrez les fonctions de sécurité qui sont disponibles pour les services que vous utilisez. Évaluez les nouvelles fonctions au fur et à mesure qu'elles sont publiées.
AWS security blog
AWS security bulletins
AWS service documentation

Définir le processus d'intégration des services AWS: Définissez les processus d'intégration des nouveaux services AWS. Incluez la manière d'évaluer le fonctionnement des nouveaux services AWS et les exigences en matière de conformité pour votre charge de travail.

Tester de nouveaux services et de nouvelles fonctions: Testez de nouveaux services et de nouvelles fonctions au fil de leur publication dans un environnement hors production qui réplique fidèlement votre environnement de production.

Mettre en place d'autres mécanismes de défense: Implémentez des mécanismes automatisés pour défendre votre charge de travail et explorez les options disponibles.
Remediating non-compliant AWS resources by AWS Config Rules