SEC 8: Comment protéger les données au repos ?

Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

Ressources

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Bonnes pratiques:

• Implémenter la gestion sécurisée des clés: Les clés de chiffrement doivent être stockées en toute sécurité et faire l'objet d'un contrôle d'accès strict, par exemple à l'aide d'un service de gestion des clés comme AWS KMS. Pensez à utiliser différentes clés et de contrôler l'accès aux clés en sus des stratégies AWS IAM et de ressources afin de vous conformer aux niveaux de classification de données et aux exigences de séparation.

• Appliquer le chiffrement au repos: Appliquez vos exigences en matière de chiffrement basées sur les derniers standards et recommandations pour aider à protéger vos données au repos.

• Automatiser la protection des données au repos: Utilisez des outils automatisés pour valider et faire respecter en permanence la protection des données au repos, par exemple en vérifiant qu'il n'y a que des ressources de stockage chiffrées.

• Appliquer le contrôle d'accès: Appliquez le contrôle d'accès avec un minimum de privilèges et de mécanismes, y compris les sauvegardes, l'isolation et le contrôle de version, pour aider à protéger vos données au repos. Empêchez les opérateurs d'accorder un accès public à vos données.

• Utiliser des mécanismes pour protéger l'accès aux données: Empêchez tous les utilisateurs d'accéder directement aux données et systèmes sensibles dans des circonstances opérationnelles normales. Par exemple, fournissez un tableau de bord au lieu d'un accès direct à un magasin de données pour exécuter des requêtes. Lorsque des pipelines CI/CD ne sont pas utilisés, identifiez les contrôles et processus nécessaires pour fournir de manière adéquate un mécanisme alternatif normalement désactivé.

Plan d'amélioration

Implémenter la gestion sécurisée des clés

Implémenter AWS Key Management Service (AWS KMS): AWS Key Management Service (KMS) simplifie la création et la gestion des clés, ainsi que le contrôle de l'utilisation du chiffrement sur un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matérielle validés selon la norme FIPS 140-2 pour protéger vos clés.
Getting started: AWS Key Management Service (AWS KMS)

Penser à utiliser le kit SDK AWS Encryption: Utilisez le kit SDK AWS Encryption avec intégration à AWS KMS lorsque votre application a besoin de chiffrer les données côté client.
AWS Encryption SDK

Appliquer le chiffrement au repos

Appliquer le chiffrement au repos pour Amazon S3: Implémentez le chiffrement par défaut du compartiment S3.
How do I enable default encryption for an S3 bucket?

Utiliser AWS Secrets Manager: AWS Secrets Manager est un service AWS qui vous permet de gérer facilement gérer des informations secrètes. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire.
AWS Secrets Manager

Configurer le chiffrement par défaut pour les nouveaux volumes EBS: Spécifiez que vous souhaitez que tous les volumes EBS nouvellement créés soient créés sous forme chiffrée, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.
Default encryption for EBS volumes

Configurer les Amazon Machine Images (AMI) chiffrées: La copie d'une AMI existante avec chiffrement activé chiffrera automatiquement les instantanés et les volumes racines.
AMIs with encrypted Snapshots

Configurer le chiffrement Amazon RDS: Configurez le chiffrement pour les instantanés et les clusters DB Amazon RDS au repos en activant l'option de chiffrement.
Encrypting Amazon RDS resources

Configurer le chiffrement dans des services AWS supplémentaires: Identifiez les capacités de chiffrement pour les services AWS que vous utilisez.
AWS Documentation

Automatiser la protection des données au repos

Appliquer le contrôle d'accès

Appliquer le contrôle d'accès: Appliquez le contrôle d'accès avec le moins de privilèges possible, y compris l'accès aux clés de chiffrement.
Introduction to Managing Access Permissions to Your Amazon S3 Resources

Séparer les données selon différents niveaux de classification: Utilisez différents comptes AWS pour les niveaux de classification des données gérés par AWS Organizations.
AWS Organizations

Évaluer les stratégies AWS KMS: Vérifiez le niveau d'accès accordé dans les stratégies AWS KMS.
Overview of managing access to your AWS KMS resources

Vérifier les autorisations relatives aux compartiments et aux objets S3: Vérifiez régulièrement le niveau d'accès autorisé dans les politiques de compartiment Amazon S3. Une bonne pratique consiste à ne pas avoir des compartiments publiquement accessibles en lecture ou en écriture. Pensez à utiliser AWS Config pour détecter les compartiments qui sont publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d'Amazon S3.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Activer la gestion des versions Amazon S3 et le verrouillage des objets
Using versioning
Locking Objects Using Amazon S3 Object Lock

Utiliser l'inventaire Amazon S3: L'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
Amazon S3 Inventory

Vérifier les autorisations de partage des AMI et d'Amazon EBS: Le partage des autorisations peut permettre de partager des images et des volumes avec des comptes AWS externes à votre charge de travail.
Sharing an Amazon EBS Snapshot
Shared AMIs

Utiliser des mécanismes pour protéger l'accès aux données

Implémenter des mécanismes pour protéger l'accès aux données: Ces mécanismes incluent l'utilisation de tableaux de bord comme Amazon QuickSight pour afficher les données aux utilisateurs au lieu d'interroger directement.
Amazon QuickSight

Automatiser la gestion de la configuration: Effectuez des actions à distance, appliquez et validez automatiquement des configurations sécurisées en utilisant un service ou un outil de gestion de configuration. Évitez d'utiliser des hôtes bastion ou d'accéder directement aux instances EC2.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS