SEC 9: Comment protéger vos données en transit ?

Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte.

Ressources

AWS Certificate Manager
Services Integrated with AWS Certificate Manager
HTTPS Listeners for Your Application Load Balancer
AWS VPN
API Gateway Edge-Optimized

Bonnes pratiques:

• Implémenter la gestion sécurisée des clés et des certificats: Stockez les clés de chiffrement et les certificats en toute sécurité et effectuez leur rotation aux intervalles appropriés tout en appliquant un contrôle d'accès strict, en particulier à l'aide d'un service de gestion de certificats comme AWS Certificate Manager (ACM).

• Appliquer le chiffrement en transit: Appliquez vos exigences de chiffrement définies en fonction des normes et recommandations appropriées afin de respecter vos exigences organisationnelles, légales et de conformité.

• Automatiser la détection des accès involontaires aux données: Utilisez des outils tels qu'Amazon GuardDuty pour détecter automatiquement les tentatives de déplacement de données en dehors des limites définies en fonction du niveau de classification des données, par exemple, pour détecter un cheval de Troie qui copie des données vers un réseau inconnu ou non validé en utilisant le protocole DNS.

• Authentifier les communications réseau: Vérifiez l'identité des communications à l'aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l'authentification.

Plan d'amélioration

Implémenter la gestion sécurisée des clés et des certificats

Implémenter la gestion sécurisée des clés et des certificats: Implémentez votre solution de gestion sécurisée des clés et des certificats.
AWS Certificate Manager
How to host and manage an entire private certificate infrastructure in AWS

Implémenter des protocoles sécurisés: Utilisez des protocoles sécurisés comme le protocole TLS (Transport Layer Security) ou IPsec qui assurent l'authentification et la confidentialité, afin de réduire les risques de dégradation ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité pertinents aux services que vous utilisez.
AWS Documentation

Appliquer le chiffrement en transit

Appliquer le chiffrement en transit: Vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité et autoriser uniquement des protocoles sécurisés. Par exemple, configurez uniquement un groupe de sécurité pour autoriser le protocole HTTPS pour un équilibreur de charge d'application ou une instance EC2.

Configurer des protocoles sécurisés dans les services périphériques: Configurez le protocole HTTPS avec Amazon CloudFront et les chiffrements requis.
Using HTTPS with CloudFront

Utiliser un VPN pour la connectivité externe: Pensez à utiliser un VPN IPsec pour sécuriser les connexions point à point ou réseau à réseau qui fournissent à la fois la confidentialité et l'intégrité des données.
VPN connections

Configurer les protocoles de sécurisation dans les équilibreurs de charge: Activez l’écouteur HTTPS pour sécuriser les connexions aux équilibreurs de charge.
HTTPS listeners for your application load balancer

Configurer des protocoles sécurisés pour les instances: Envisagez de configurer le chiffrement HTTPS sur les instances.
Tutorial: Configure Apache web server on Amazon Linux 2 to use SSL/TLS

Configurer des protocoles sécurisés dans Amazon Relational Database Service (Amazon RDS): Utilisez le protocole SSL/TLS pour chiffrer la connexion aux instances de base de données.
Using SSL to encrypt a connection to a DB Instance

Configurer des protocoles sécurisés dans Amazon Redshift: Configurez votre cluster pour qu'il exige une connexion SSL/TLS.
Configure security options for connections

Configurer des protocoles sécurisés dans des services AWS supplémentaires: Identifiez les capacités de chiffrement en transit pour les services AWS que vous utilisez.
AWS documentation

Automatiser la détection des accès involontaires aux données

Automatiser la détection des accès involontaires aux données: Utilisez un outil ou un mécanisme de détection pour détecter automatiquement les tentatives de déplacement de données en dehors des limites définies. Par exemple, pour détecter un système de base de données qui copie des données sur un hôte non reconnu.
VPC Flow Logs

Penser à utiliser Amazon Macie: Amazon Macie surveille en permanence l'activité d'accès aux données à la recherche d'anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou de fuite de données involontaire.
Amazon Macie

Authentifier les communications réseau

Implémenter des protocoles sécurisés: Utilisez des protocoles sécurisés comme le protocole TLS (Transport Layer Security) ou IPsec qui assurent l'authentification et la confidentialité, afin de réduire les risques de dégradation ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité relatifs aux services que vous utilisez.
AWS Documentation