SEC 6: De quelle façon pouvez-vous assurer la protection de vos ressources de calcul ?

Les ressources de calcul de votre charge de travail nécessitent plusieurs couches de défense pour vous aider à vous protéger des menaces externes et internes. Les ressources de calcul incluent les instances EC2, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, et plus encore.

Ressources

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Bonnes pratiques:

• Faire la gestion des vulnérabilités: Analysez et éliminez fréquemment les failles de sécurité dans votre code, vos dépendances et votre infrastructure afin de vous protéger contre les nouvelles menaces.

• Réduire la surface d'attaque: Réduisez votre surface d'attaque en renforçant les systèmes d'exploitation et en réduisant les composants, les bibliothèques et les services consommables en externe utilisés.

• Mettre en œuvre des services gérés: Mettez en œuvre des services qui gèrent les ressources, comme Amazon RDS, AWS Lambda et Amazon ECS, afin de réduire vos tâches de maintenance de la sécurité dans le cadre du modèle de responsabilité partagée.

• Automatiser la protection du calcul: Automatisez vos mécanismes de protection du calcul, en particulier la gestion des failles, la réduction de la surface d'attaque et la gestion des ressources.

• Permettre aux humains d'effectuer des actions à distance: La suppression de la possibilité d'accès interactif réduit le risque d'erreur humaine et le potentiel de configuration ou de gestion manuelle. Par exemple, utilisez un flux de travail de gestion des modifications pour déployer des instances EC2 à l'aide d'une infrastructure-code, puis gérez les instances EC2 à l'aide d'outils au lieu d'autoriser un accès direct ou un hôte bastion.

• Valider l'intégrité du logiciel: Mettez en place des mécanismes (signature de code) pour confirmer que les logiciels, le code et les bibliothèques utilisés dans la charge de travail proviennent de sources fiables et n'ont pas été altérés.

Plan d'amélioration

Faire la gestion des vulnérabilités

Configurer Amazon Inspector: Amazon Inspector teste l'accessibilité réseau de vos instances Amazon EC2 et l'état de sécurité des applications qui s'exécutent sur ces instances. Amazon Inspector évalue l'exposition des applications, les vulnérabilités et les écarts par rapport aux bonnes pratiques.
What is Amazon Inspector?

Analyser le code source: Analysez les bibliothèques et les dépendances à la recherche de vulnérabilités.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

Réduire la surface d'attaque

Renforcer le système d'exploitation: Configurez les systèmes d'exploitation de manière à respecter les bonnes pratiques.
Securing Amazon Linux
Securing Microsoft Windows Server

Renforcer les ressources conteneurisées: Configurez les ressources conteneurisées de manière à respecter les bonnes pratiques en matière de sécurité.

Bonnes pratiques AWS Lambda: Mettre en œuvre les bonnes pratiques AWS Lambda
AWS Lambda best practices

Mettre en œuvre des services gérés

Explorez les services disponibles: Explorez, testez et implémentez des services qui gèrent des ressources, notamment Amazon RDS, AWS Lambda et Amazon ECS.
AWS Home

Automatiser la protection du calcul

Automatiser la gestion de la configuration: Appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

Automatiser l'application de correctifs sur les instances EC2: Le gestionnaire de correctifs AWS Systems Manager automatise le processus d'application des correctifs aux instances gérées avec des types de mises à jour liés à la sécurité et d'autres types. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

Mettre en place une détection et une prévention des intrusions: Mettez en place un outil de détection et de prévention des intrusions pour surveiller et arrêter les opérations malveillantes sur les instances.

Penser à utiliser les solutions des partenaires APN: Les partenaires APN proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité complète et une expérience plus homogène dans votre cloud et vos environnements sur site.
Infrastructure security

Permettre aux humains d'effectuer des actions à distance

Remplacer l'accès à la console: Remplacez l'accès (protocole SSH ou RDP) aux instances depuis la console par la fonction Run Command d'AWS Systems Manager pour automatiser les tâches de gestion.
AWS Systems Manager Run Command

Valider l'intégrité du logiciel

Enquêter sur les mécanismes: La signature de code est un mécanisme qui peut être utilisé pour valider l'intégrité du logiciel.
NIST: Security Considerations for Code Signing