Pilier « Sécurité » AWS Well-Architected Framework

Mai 2017

© 2017, Amazon Web Services, Inc. ou ses sociétés apparentées. Tous droits réservés.

Mentions légales Ce document est fourni à titre informatif uniquement. Il présente l'offre de produits et les pratiques actuelles d'AWS à la date de publication de ce document, des informations qui sont susceptibles d'être modifiées sans préavis. Il incombe aux clients de procéder à leur propre évaluation indépendante des informations contenues dans ce document et chaque client est responsable de son utilisation des produits ou services AWS, chacun étant fourni « en l'état », sans garantie d'aucune sorte, qu'elle soit explicite ou implicite. Ce document n'offre pas de garantie, représentation, engagement contractuel, condition ou assurance de la part d'AWS, de ses sociétés apparentées, fournisseurs ou concédants de licence. Les responsabilités et obligations d'AWS vis-à-vis de ses clients sont régies par les contrats AWS. Le présent document ne fait partie d'aucun contrat et ne modifie aucun contrat entre AWS et ses clients.

Table des matières Introduction 1

Sécurité 2

Principes de conception 2

Définition 3

Identité et gestion des accès (IAM -Identity and Access Management) 3

Protection des informations d'identification AWS 4

Accès restreint 6

Contrôles de détection 7

Capture et analyse des journaux 8

Intégrer les contrôles d'audit avec notification et flux de travail 10

Protection de l'infrastructure 13

Protection des limites du réseau et de l'hôte 13

Configuration et maintenance de la sécurité du système 15

Application de la protection au niveau du service 17

Protection des données 19

Classification des données 19

Chiffrement/Segmentation 21

Protection des données au repos 23

Protection des données en transit 24

Sauvegarde / Réplication / Récupération des données 25

Réaction face aux incidents 27

Salle blanche 28

Conclusion 30

Participants 30

Suggestions de lecture 30

Historique du document 31

Résumé Ce livre blanc se concentre sur le pilier Sécurité du Well-Architected Framework. Il fournit des informations pour aider les clients à appliquer les bonnes pratiques de conception, de livraison et de maintenance d'environnements AWS sécurisées.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 1

Introduction Chez Amazon Web Services (AWS), nous sommes conscients de la valeur que représente la formation de nos clients sur les bonnes pratiques en matière d'architecture et d'exploitation pour concevoir dans le cloud des systèmes fiables, sécurisés et économiques. Dans le cadre de cette démarche, nous avons développé l'infrastructure AWS Well-Architected Framework1, qui vous permet de comprendre les avantages et les inconvénients des décisions que vous prenez lors du développement de systèmes sur AWS. Nous pensons que des systèmes à l'architecture bien conçue augmentent grandement la probabilité de la réussite commerciale.

L'infrastructure est basée sur cinq piliers :

• Sécurité

• Fiabilité

• Efficacité des performances

• Optimisation des coûts

• Excellence opérationnelle

Ce livre blanc se concentre sur le pilier Sécurité et la manière de l'appliquer à vos solutions. Assurer la sécurité peut être difficile dans les solutions sur site traditionnelles en raison de l'utilisation des processus manuels, coquille des modèles de sécurité et d'audit insuffisantes. En adoptant les pratiques dans ce document vous pouvez construire des architectures qui protègent les données et systèmes, contrôlent l'accès, et répondent automatiquement à des événements de sécurité.

Ce livre blanc s'adresse à celles et ceux qui sont dépositaires de rôles technologiques, comme les directeurs techniques (CTO, chief technology officer), les architectes, les développeurs et les membres de l'équipe d'exploitation. Après avoir lu ce document, vous saurez quelles sont les stratégies et les bonnes pratiques AWS à utiliser lors de la conception d'architectures cloud pour la sécurité. Ce document ne fournit pas de modèles d'architecture ou de détails sur l'implémentation ; cependant, il propose des références aux ressources appropriées où figurent ces informations.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 2

Sécurité Le pilier de la sécurité englobe la capacité à protéger l'information, les systèmes et les actifs tout en offrant une valeur commerciale au moyen d'évaluations des risques et de stratégies d'atténuation. Ce livre blanc fournit en profondeur, des conseils en matière de bonnes pratiques pour architecturer des systèmes sécurisés sur AWS.

Principes de conception Dans le cloud, il existe un certain nombre de principes qui peuvent vous aider à renforcer la sécurité de votre système :

• Appliquer la sécurité à toutes les couches : Au lieu de simplement exécuter les dispositifs de sécurité (les pare-feux, par exemple) à la pointe de votre infrastructure, utilisez les pare-feux et autres contrôles de sécurité sur l'ensemble de vos ressources (chaque serveur virtuel, répartiteur de charge et sous-réseau).

• Activer la traçabilité : Enregistrez et auditez toutes les actions et toutes les modifications apportées à votre environnement.

• Mettre en place un principe du moindre privilège : Assurez-vous que l'autorisation est appropriée pour chaque interaction avec vos ressources AWS et implémentez des contrôles d'accès logique forts directement sur les ressources.

• Se concentrer sur la sécurisation de votre système : Avec le modèle Responsabilité partagée AWS2, vous pouvez vous concentrer sur la sécurisation de vos applications, données et systèmes d'exploitation, pendant qu'AWS fournit une infrastructure et des services sécurisés.

• Automatiser les bonnes pratiques en matière de sécurité : Les mécanismes de sécurité basés sur des logiciels améliorent votre capacité à évoluer en toute sécurité plus rapidement et de manière plus rentable. Créez et enregistrez une image renforcée corrigée, d'un serveur virtuel, puis utilisez automatiquement cette image sur chaque nouveau serveur que vous lancez. Créez une architecture de zone de confiance entière qui est définie et gérée dans un modèle à l'aide du contrôle de révision. Automatisez la réponse à la fois des événements de sécurité et de routine anormales.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 3

Définition La sécurité dans le cloud se compose de cinq domaines :

1. Identité et gestion des accès (IAM -Identity and Access Management)

2. Contrôles de détection

3. Protection de l'infrastructure

4. Protection des données

5. Réaction face aux incidents

Le modèle de responsabilité partagée AWS permet aux organisations qui adoptent le cloud d'atteindre leurs objectifs de sécurité et de conformité. Comme AWS sécurise physiquement l'infrastructure qui prend en charge nos services cloud, les clients AWS peuvent se concentrer sur l'utilisation de services pour concrétiser leurs objectifs. Le cloud AWS offre aussi un plus grand accès aux données de sécurité, ainsi qu'une approche automatisée pour répondre aux événements de sécurité.

Identité et gestion des accès (IAM -Identity and Access Management) La gestion des identités et des accès est un élément clé d'un programme de sécurité de l'information, garantissant que seuls les utilisateurs autorisés et authentifiés puissent accéder à vos ressources, et uniquement de la manière dont vous le souhaitez. Par exemple, vous devez définir les mandants (utilisateurs, groupes, services et rôles qui agissent dans votre compte), créer des stratégies alignées sur ces mandants et implémenter une gestion des informations d'identification renforcée. Ces éléments de gestion des privilèges constituent le cœur de l'authentification et l'autorisation.

Dans AWS, il existe un certain nombre de différentes approches à prendre en compte lors de la gestion des identités et des accès, les sections suivantes décrivent comment utiliser ces approches :

• Protection des informations d'identification AWS

• Accès restreint

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 4

Protection des informations d'identification AWS La gestion prudente des informations d'identification d'accès est la base de la façon dont vous allez sécuriser vos ressources dans le cloud. Étant donné que chaque interaction que vous effectuez avec AWS sera authentifiée, l'établissement de pratiques et de modèles de gestion des informations d'identification appropriés vous permet de lier l'utilisation d'AWS au cycle de vie de votre personnel et de vous assurer que seules les parties concernées agissent.

Lorsque vous ouvrez un compte AWS, l'identité avec laquelle vous commencez a accès à tous les services et ressources AWS de ce compte. Vous utilisez cette identité pour établir des utilisateurs moins privilégiés ou un accès basé sur les rôles dans le service AWS Identity and Access Management (IAM). Toutefois, ce compte initial (connu sous le nom de l'utilisateur racine) n'est pas conçue pour les tâches quotidiennes, et ces informations d'identification doivent être soigneusement protégées à l'aide de l'authentification multi-facteurs (MFA - multi-factor authentication) et en supprimant les clés d'accès une fois la configuration initiale du compte terminée.

Pour le compte racine, vous devez suivre la meilleure pratique consistant à utiliser uniquement le compte racine pour créer un autre ensemble initial d'utilisateurs et de groupes IAM pour les opérations de gestion d'identité à plus long terme. Ces utilisateurs IAM privilégiés - étroitement contrôlés et limités - sont utilisés pour établir une relation de confiance avec les fournisseurs d'identités existantes (via la fédération des identités SAML 2.0 ou les identités web) déjà liés à la source d'enregistrement de la main-d'œuvre de votre organisation. L'utilisation de la fédération réduit la nécessité de créer des utilisateurs dans IAM, tout en exploitant les identités, les informations d'identification et l'accès basé sur les rôles que vous avez sans doute déjà établis dans votre organisation.

Pour tous les utilisateurs IAM, vous devez appliquer des stratégies appropriées et forcer l'utilisation d'authentification renforcée. Vous pouvez définir une stratégie de mot de passe sur le compte AWS qui nécessite une longueur et une complexité minimales pour les mots de passe associés aux utilisateurs IAM. Vous pouvez également définir une stratégie de rotation obligatoires obligeant les utilisateurs IAM à modifier leurs mots de passe à intervalles réguliers. Pour tous les utilisateurs IAM dont les mots de passe permettent d'accéder à AWS Management Console, vous devez également utiliser l'authentification multifacteur.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 5

Les utilisateurs IAM peuvent également avoir besoin d'accéder aux API AWS directement à partir d'outils de ligne de commande (CLI) ou à l'aide de kits de développement logiciel (SDK). Dans ces cas-là, où la fédération peut ne pas être pratique, un ID de clé d'accès et une clé d'accès secrète doivent être émis et utilisés à la place d'un mot de passe. Ces informations d'identification doivent être soigneusement protégées et échangées contre des informations d'identification temporaires dans la mesure du possible. Faites particulièrement attention à ne pas stocker les clés d'accès et les clés secrètes dans des emplacements mal sécurisés ou à les placer par inadvertance dans des dépôts de code source.

Pour les cas d'utilisation où la fédération n'est pas pratique, comme de nombreux scénarios d'authentification de service à service, vous pouvez utiliser des profils d'instance IAM pour les instances Amazon EC2 et / ou AWS Security Token Service (STS) pour générer et gérer les informations d'identification temporaires utilisées dans un logiciel qui doit s'authentifier auprès des API AWS.

Principaux services AWS Le principal service AWS qui prend en charge la protection des informations d'identification est AWS Identity and Access Management (IAM). Ce service vous permet de gérer les informations d'identification et les stratégies qui leur sont appliqués. Les services et fonctions suivants sont également importants :

• AWS Security Token Service vous permet de demander des informations d'identification temporaires, aux privilèges limités, pour l'authentification avec d'autres API AWS.

• Les profils d'instance IAM pour les instances EC2 vous permettent de tirer parti du service de métadonnées Amazon Elastic Compute Cloud (EC2) et des informations d'identification temporaires gérées pour accéder à d'autres API AWS.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour protéger vos informations d'identification AWS.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 6

Vidéo • AWS re : Invent 2015 SEC202 Bonnes pratiques IAM à suivre3

• AWS re : Invent 2015 SEC307 Un voyage progressif à travers les options de fédération AWS IAM : Des rôles à SAML aux courtiers d'identité personnalisés 4

Documentation

• Informations d'identificationdu compte racine et informations d'identificationde l'utilisateur IAM5

• Utilisateur racine d'un compte6

• Définition d'une stratégie de mot de passe du compte pour les utilisateurs IAM

• Gestion des clés d'accès pour les utilisateurs IAM7

• Utilisation de profils d'instance8

• Informations d'identification de sécurité temporaire9

Accès restreint L'établissement d'un principe de moindre privilège garantit que les identités authentifiées sont uniquement autorisées à exécuter l'ensemble le plus minimal de fonctions nécessaires pour accomplir une tâche spécifique, tout en équilibrant la convivialité et l'efficacité. L'application de ce principe limite le rayon d'action - ou l'impact potentiel - de l'utilisation inappropriée d'informations d'identification valides, vous permet de séparer les tâches de supervision et de gouvernance, et rend la vérification des droits sur vos ressources beaucoup plus simple.

Les organisations doivent définir les rôles et les responsabilités des utilisateurs et applications interagissant avec les services AWS et mettre en place un mécanisme d'autorisation précis pour l'exécution de ces rôles.

L’accès restreint est mis en œuvre dans AWS à l'aide des rôles et des stratégies IAM. Un rôle est un autre "principal" IAM pris en charge par un utilisateur ou un autre service AWS et se voit attribuer des informations d'identification temporaires limitées à un ensemble limité d'autorisations. Les politiques IAM sont des documents qui déclarent formellement une ou plusieurs autorisations.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 7

Les stratégies sont attachées à des utilisateurs, des groupes et des rôles pour créer une très solide infrastructure de gestion d'accès.

Principaux services AWS Le principal service AWS prenant en charge un mécanisme d'accès restreint est AWS Identity and Access Management, qui offre un langage de règles très flexible utilisé pour autoriser ou refuser des actions, définir des conditions sur ces actions, et limiter les actions à des mandataires spécifiques ou des ressources.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour le mécanisme d’accès restreint.

Documentation • Utilisation de stratégies10

• Délégation des autorisations aux utilisateurs, groupes et informations d'identification IAM de l'administrateur11

• Stratégies gérées et stratégies en ligne12

• Utilisation de stratégies13

Contrôles de détection Vous pouvez utiliser les contrôles de détection pour identifier les incidents de sécurité potentiels. Ils sont un élément essentiel des infrastructures de gouvernance et peuvent être utilisés pour soutenir un processus de qualité, une obligation légale ou de conformité, et des efforts d'identification et de réponse aux menaces. Il existe différents types de contrôles de détection. Par exemple, effectuer un inventaire des ressources et de leurs attributs détaillés favorise une prise de décision plus efficace (et les contrôles du cycle de vie) pour contribuer à établir des lignes de base opérationnelles. Ou vous pouvez utiliser un audit interne (examen des contrôles associés aux systèmes d'informations) pour garantir que les pratiques satisfont aux politiques et aux exigences, et que vous avez défini les notifications correctes d'alerte automatique en fonction des conditions définies. Ces contrôles sont des facteurs réactifs importants qui aident les organisations à identifier et à comprendre l'étendue des activités anormales.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 8

Dans AWS, il existe un certain nombre d'approches à prendre en compte pour les contrôles de détection. Les sections suivantes décrivent comment utiliser ces approches :

• Capture et analyse des journaux

• Intégrer les contrôles d'audit avec notification et flux de travail

Capture et analyse des journaux Dans les architectures de centre de données classique, l’agrégation et d'analyse des journaux nécessite généralement l'installation d'agents sur des serveurs, la configuration soigneuse des équipements du réseau pour diriger les messages dans les points de collecte et le transfert des journaux d'application vers les moteurs de recherche et de règles. L’agrégation dans le cloud est beaucoup plus facile en raison de deux fonctionnalités.

Tout d'abord, la gestion des ressources est plus facile, car les actifs et les instances peuvent être décrits par programmation sans dépendre de la santé de l'agent. Par exemple, au lieu de mettre à jour manuellement une base de données d'actifs et de la concilier avec la base d'installation réelle vous offre une solution fiable pour collecter les métadonnées d'actifs en seulement quelques appels d'API. Ces données sont beaucoup plus précises et opportunes que l'utilisation d'analyses de reconnaissance, d'entrées manuelles dans une CMDB ou d'un recours à des agents susceptibles d'arrêter de générer des rapports sur leur état.

Deuxièmement, vous pouvez utiliser des services natifs, pilotés par API, pour collecter, filtrer et analyser les journaux au lieu de gérer et de dimensionner le moteur de journalisation vous-même. Le fait de pointer vos journaux vers un compartiment dans un magasin d'objets ou de diriger des événements vers un point de terminaison de diffusion, vous permet de consacrer moins de temps à la planification des capacités et à garantir la disponibilité de la journalisation du serveur principal et de l'architecture de recherche.

Dans AWS, une bonne pratique consiste à activer AWS CloudTrail et d'autres services de journalisation spécifiques pour capturer l'activité relative aux API à l'échelle mondiale et de centraliser les données pour le stockage et l'analyse.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 9

Vous pouvez diriger les journaux AWS CloudTrail vers Amazon CloudWatch Logs ou d'autres points de terminaison, de sorte que vous puissiez obtenir des événements dans un format cohérent entre calcul, stockage et applications.

Pour l’enregistrement basé sur serveur et sur applications qui ne provient pas des services eux-mêmes, vous utiliserez toujours des méthodes traditionnelles impliquant des agents pour collecter et acheminer les événements (syslog, solutions tierces, journalisation du système d'exploitation natif), mais il est plus facile d'exécuter cette approche avec succès dans AWS. À l'aide de services et de fonctionnalités tels que AWS CloudFormation, AWS OpsWorks ou les données utilisateur Amazon Elastic Compute Cloud (EC2), les administrateurs système peuvent s'assurer que les instances disposent toujours d'agents installés.

La collecte et l'agrégation de journaux sont d’égale importance avec l'extraction des informations constructives à partir de grands volumes de données de journalisation et d'événements générés par des architectures modernes et complexes. Les architectes devraient envisager des contrôles de détection de bout en bout. Vous ne devez pas simplement générer et stocker les journaux. Votre fonction de sécurité de l'information nécessite de solides capacités d'analyse et de récupération afin que vous puissiez avoir un aperçu des activités liées à la sécurité. AWS fournit des solutions pour les charges de travail de Big Data parfaitement adaptées au détail et à l'analyse des données de sécurité.

Principaux services AWS Le principal service AWS qui prend en charge la capture des activités clés est AWS CloudTrail, qui fournit des détails riche sur les appels d'API effectués dans votre compte AWS. Les services et fonctions suivants sont également importants :

• AWS Config vous fournit un inventaire de ressources AWS, un historique de configuration et des notifications de modification de configuration pour activer la sécurité et la gouvernance.

• Amazon Elasticsearch Service gère et dimensionne un cluster du moteur d'analyse et de recherche Open Source couramment utilisé Elasticsearch. Vous pouvez utiliser cette solution pour indexer, rechercher et afficher des données de sécurité.

• AWS CloudWatch Logs vous permet de centraliser les journaux dans les flux, en intégrant nativement des fonctions et des services tels que les journaux de flux VPC et AWS CloudTrail. CloudWatch

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 10

Logs est évolutif pour ingérer des journaux sans devoir gérer l'infrastructure traditionnelle.

• Amazon EMR vous permet d'écrire des applications pour analyser et analyser les journaux à grande échelle, tout en évitant de devoir gérer Hadoop et d'autres clusters d'analyse de données.

• Amazon Simple Storage Service (S3) et Amazon Glacier peuvent être utilisés pour centraliser le stockage et l'archivage à long terme des données de journaux.

Intégrer les contrôles d'audit avec notification et flux de travail Les équipes d'opérations de sécurité s'appuient sur la collection de journaux et l'utilisation des outils de recherche pour découvrir les événements d'intérêt potentiels, ce qui peut indiquer une activité non autorisée ou un changement involontaire. Toutefois, l'analyse des données collectées et le traitement manuel des informations sont insuffisants pour suivre le volume d'informations provenant d'architectures modernes et complexes. L'analyse et les rapports ne facilitent pas à eux seuls l'affectation des bonnes ressources pour travailler un événement en temps opportun. Une bonne pratique consiste à intégrer profondément le flux d'événements et de résultats de sécurité dans un système de notification et de flux de travail, tel qu'un système de ticketing, un système de bogue / problème ou tout autre système de gestion des événements et des informations de sécurité (SIEM, security information and event management). Cela élimine le flux de travail des e-mails et des rapports statiques, ce qui vous permet d'acheminer, d'escalader et de gérer les événements ou les résultats. De nombreuses organisations DevOps intègrent désormais des alertes de sécurité dans leurs outils de chat / Internet Relay Chat (IRC) ou d'autres plateformes de productivité de collaboration et de développement.

Cette meilleure pratique s'applique non seulement aux événements de sécurité générés à partir de messages de journal décrivant l'activité de l'utilisateur ou les événements réseau, mais également à partir des modifications détectées dans l'infrastructure elle-même. La capacité à détecter les changements, à déterminer si une modification était appropriée, puis à acheminer ces informations pour le

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 11

flux de travail de correction appropriées sont essentielles pour la maintenance et la validation d'une architecture sécurisée.

Dans AWS, le routage des événements d'intérêt et des informations reflétant des modifications potentiellement indésirables dans un flux de travail approprié est effectué à l'aide d'Amazon CloudWatch Events. Ce service fournit un moteur de règles évolutif conçu pour gérer les formats d'événements AWS natifs (tels que les événements AWS CloudTrail), ainsi que les événements personnalisés que vous pouvez générer vous-même. Vous créez des règles qui analysent les événements, les transforment si nécessaire, puis acheminent ces événements vers des cibles telles qu'une fonction AWS Lambda, une notification SNS (Amazon Simple Notification Service) ou d'autres cibles.

La détection des modifications et le routage de ces informations vers le flux de travail approprié peuvent être effectuées à l'aide des règles AWS Config. AWS Config détecte les modifications dans les services concernés et génère des événements qui peuvent être analysées à l'aide d'AWS Config, pour le démantèlement, l'application de la stratégie de conformité et la transmission des informations aux systèmes tels que les plates-formes de gestion des modifications et les services de billetterie opérationnels.

La réduction du nombre d'erreurs de configuration de sécurité introduits dans un environnement de production est essentielle. Par conséquent, plus vous pouvez exécuter de contrôle de la qualité et de la réduction des défauts dans le processus de génération, mieux c'est. Les pipelines modernes d'intégration continue et de déploiement continu (CI / CD) devraient être conçus pour tester les problèmes de sécurité dans la mesure du possible. À l'aide d'Amazon Inspector, vous pouvez effectuer des évaluations de configuration pour les vulnérabilités et les expositions courantes connues (CVE), évaluer vos instances par rapport aux tests de performances de sécurité et automatiser entièrement la notification des incidents. Amazon Inspector s'exécute sur des instances de production ou dans un pipeline de génération, et elle notifie les développeurs et ingénieurs lorsque les résultats sont présents. Vous pouvez accéder aux résultats par programme et les diriger vers un backlog et des systèmes de suivi des bogues.

Principaux services AWS Le principal service AWS qui prend en charge l'intégration des contrôles d'audit et de notifications dans des systèmes de flux de travail est Amazon CloudWatch Events, qui vous permet d'acheminer des événements vers un puissant moteur

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 12

de règles. Les règles examinent ensuite les événements entrants, analysent les valeurs entrantes et acheminent correctement l'événement à un nombre illimité de cibles, telles que les e-mails ou les périphériques mobiles, les files d'attente de ticketing et les systèmes de gestion des problèmes. Les services et fonctions suivants sont également importants :

• AWS Config Rules vous permet de créer des règles qui vérifient automatiquement la configuration des ressources AWS enregistrées par AWS Config.

• Amazon CloudWatch doit être activé pour faciliter la collecte des événements et le routage avec CloudWatch Events.

• Amazon CloudWatch API et AWS SDK peuvent être utilisés pour créer des événements personnalisés dans vos propres applications et les injecter dans CloudWatch Events pour un traitement et un routage basés sur des règles.

• Amazon Inspector offre un moyen programmatique de détecter les failles de sécurité ou des erreurs de configuration dans vos systèmes d'exploitation et les applications. Comme vous pouvez utiliser les appels API pour accéder au traitement des évaluations et aux résultats de vos évaluations, l'intégration des résultats dans des flux de travail et systèmes de notification est simple. Les équipes DevOps peuvent intégrer Amazon Inspector dans leurs pipelines CI / CD et l'utiliser pour identifier les problèmes préexistants ou lorsque de nouveaux problèmes sont introduits.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour intégrer les contrôles d'audit avec notification et flux de travail.

Vidéo • Evènements Amazon CloudWatch14

• Notions de base : Présentation d'AWS Config Rules15

• Présentation d'Amazon Inspector16

Documentation

• Evènements Amazon CloudWatch17

• Règles AWS Config18

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 13

• Recueil de règles AWS Config (open source sur GitHub)19

• Amazon Inspector20

Protection de l'infrastructure La protection de l'infrastructure englobe les méthodologies de contrôle, comme la protection fiable, nécessaires pour satisfaire les bonnes pratiques et les obligations industrielles ou réglementaires. L'utilisation de ces méthodologies est essentielle au succès des opérations en cours, que ce soit dans le cloud ou sur site.

Protection de l'infrastructure est un aspect essentiel du programme de sécurité des informations. Il garantit que les systèmes et services dans votre système sont protégées contre les accès non autorisés et involontaires et les vulnérabilités potentielles. Par exemple, vous devez définir des limites de confiance (par exemple, réseau sécurisé et le filtrage de paquet), la configuration et la maintenance de la sécurité du système (par exemple, le renforcement et les correctifs), l'authentification et les autorisations du système d'exploitation (par exemple, utilisateurs, clés et niveaux d'accès) et d'autres points d'application des stratégies appropriés (par exemple, pare-feux d'application web et/ou passerelles d'API).

Dans AWS, il existe un certain nombre de méthodes de protection de l'infrastructure. Les sections suivantes décrivent comment utiliser ces approches :

• Protection des limites du réseau et de l'hôte

• Configuration et maintenance de la sécurité du système

• Application de la protection au niveau du service

Protection des limites du réseau et de l'hôte La gestion soignée de la topologie et de la conception de votre réseau constitue la base de la manière dont vous fournissez l'isolation et les limites des ressources dans votre environnement. Étant donné que les ressources placées dans votre environnement héritent des propriétés de sécurité du réseau sous-jacentes, il est essentiel d'établir une conception de réseau appropriée pour la charge de travail qui garantit que seuls les chemins réseau et le routage souhaités sont autorisés. Cela peut être effectué en s'appuyant sur de multiples

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 14

couches de protection afin de fournir la redondance pour les contrôles et atténuer l'impact d'une mauvaise configuration de couche unique qui pourrait permettre un accès inapproprié.

Lors de la définition de la topologie du réseau, déterminez quels composants du système doivent être publics, par exemple, un équilibreur de charge orienté client. De plus, lorsque vous concevez une connectivité, envisagez si vous avez besoin de connectivité entre votre centre de données et AWS via un réseau privé. Appliquez des configurations appropriées à votre cloud privé virtuel (VPC), à vos sous-réseaux, tables de routage, listes d'accès réseau (NACLs), passerelles et groupes de sécurité pour réaliser le routage réseau et la protection au niveau de l'hôte.

Un VPC créé à l'aide d'Amazon Virtual Private Cloud vous permet de définir votre topologie de réseau qui s'étend sur une région AWS avec une plage d'adresses IP privées que vous déterminez. Au sein d'un VPC, vous pouvez créer des sous-réseaux dans une zone de disponibilité. Chaque sous-réseau a une table de routage associée qui définit des règles de routage pour la gestion des chemins empruntés par le sous-réseau; vous pouvez définir un sous-réseau routable publiquement en ayant une route qui mène à une passerelle Internet connectée au VPC; l'absence de route vers la passerelle Internet empêche les instances d'être directement accessibles. Un sous-réseau peut également être associé à une liste d'accès au réseau (pare-feu sans état). Vous pouvez configurer les listes de contrôle d'accès (ACL) pour affiner la portée de trafic autorisé. Par exemple, vous ne pouvez autoriser que le port du moteur de base de données pour un sous-réseau hébergeant les bases de données.

Lorsqu'un hôte est lancé dans un VPC, il possède son propre groupe de sécurité (firewall avec état). Ce pare-feu se trouve en dehors de la couche du système d'exploitation et peut être utilisé pour définir des règles pour le trafic autorisé. Vous pouvez également définir les relations entre les groupes de sécurité. Par exemple, les instances d'un groupe de sécurité de niveau base de données n'acceptent que le trafic provenant d'instances du niveau application.

Lors de l'implémentation d'un VPC de conception, gardez à l'esprit certaines considérations clés pour la plage d'adresses IP que vous avez choisi pour le VPC. Essayez d'utiliser des adresses IP qui ne se chevauchent pas avec vos autres VPC ou votre centre de données. Lors de la conception des règles de contrôle d'accès réseau, prenez en compte le fait qu'il s'agit d'un pare-feu sans état et, par

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 15

conséquent, les règles sortantes et entrantes doivent être définis pour répondre à vos besoins.

Principaux services AWS Le principal service AWS qui prend en charge la protection des limites au niveau du réseau et de l'hôte est Amazon Virtual Private Cloud (VPC). Ce service offre la possibilité de créer votre réseau virtuel privé sur AWS. Les services et fonctions suivants sont également importants :

• Groupes de sécurité Amazon VPC : Fournir un pare-feu dynamique par hôte vous permettant de définir des règles de trafic spécifiques et de définir des relations avec d'autres groupes de sécurité

• AWS Direct Connect: Vous permet d'établir votre propre connectivité directe depuis votre centre de données vers votre VPC.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour assurer la protection des limites aux niveaux réseau et hôte.

Vidéo • Amazon VPC Deep Dive21

Documentation

• Documentation Amazon VPC22

• Listes de contrôle d'accès réseau Amazon VPC23

• Groupes de sécurité pour votre VPC24

• Règles des listes ACL réseau recommandées pour votre VPC25

Configuration et maintenance de la sécurité du système La gestion rigoureuse des configurations de sécurité des systèmes en cours d'exécution dans votre environnement constitue la base de la façon dont vous allez maintenir des systèmes robustes, sécurisés et évolutifs. La posture de sécurité de vos systèmes est fonction des contrôles disponibles et de vos

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 16

propres contrôles tels que les pare-feu basés sur le système d'exploitation, les scanners de vulnérabilité et d'antivirus, les antivirus et tous les outils permettant de vérifier et de maintenir l'intégrité de vos systèmes d'exploitation. Ces contrôles forment également une autre couche dans votre stratégie de défense en profondeur.

Lorsque vous définissez l'approche de sécurisation de votre système, tenez compte du niveau d'accès requis pour votre système et adoptez une approche de moindre privilège (par exemple, ouvrez uniquement les ports nécessaires pour la communication, assurez-vous que le système d'exploitation est durci et ou les configurations permissives sont désactivées). Vous devez appliquer les configurations appropriées à vos systèmes d'exploitation, y compris les mécanismes d'autorisation forts.

Vous devez automatiser les déploiements et supprimer l'accès de l'opérateur réduire votre zone de surface. Cela peut être réalisé en utilisant EC2 Run Command. Vous devriez évaluer vos expositions de sécurité de base et effectuer des évaluations de vulnérabilité de routine lorsque des mises à jour ou des déploiements sont transmis. Les outils d'analyse de vulnérabilités et expositions courantes CVE (Common Vulnerabilities and Exposures) tels qu'Amazon Inspector peuvent être utilisés pour y parvenir et centraliser les résultats de sécurité pour l'analyse et les mesures correctives. Vous devez vous assurer que les configurations de votre système d'exploitation et de votre application, telles que les paramètres de pare-feu et les définitions anti-programmes malveillants, sont correctes et à jour. Vous pouvez utiliser EC2 State Manager pour définir et maintenir des configurations de système d'exploitation cohérentes. Utilisez EC2 Inventory pour collecter et interroger la configuration de vos instances et logiciels installés. Exploitez les correctifs automatiques des outils tels que EC2 Gestionnaire de correctifs pour vous aider à déployer des systèmes d'exploitation et des correctifs logiciels automatiquement dans de grands groupes d'instances.

Principaux services AWS Les principales fonctionnalités AWS qui prennent en charge la protection des systèmes sont les groupes de sécurité Amazon VPC par instance de pare-feu. Les services et fonctions suivants sont également importants :

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 17

• Amazon Inspector peut être utilisé pour identifier les vulnérabilités ou les manquements aux bonnes pratiques dans vos systèmes d'exploitation et les applications.

• EC2 Run Command vous fournit des outils simples afin d'automatiser des tâches administratives fréquentes telles à distance l'exécution de scripts shell ou les commandes PowerShell avec un contrôle d'accès et une visibilité restreints, l'installation des mises à jour logicielles ou des modifications de la configuration du système d'exploitation.

• EC2 State Manager vous aide à définir et à maintenir des configurations de système d'exploitation cohérentes, telles que les paramètres de pare-feu et les définitions anti-programmes malveillants.

• EC2 Inventory vous aide à collecter et interroger les informations de configuration et d'inventaire de vos instances et des logiciels installés sur celles-ci.

• EC2 Patch Manager vous aide à sélectionner et déployer automatiquement des correctifs de système d'exploitation et de logiciel sur de grands groupes d'instances.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour la configuration et la maintenance de la sécurité du système.

Documentation • EC2 Systems Manager26

• EC2 Run Command27

• EC2 State Manager28

• EC2 Inventory29

• EC2 Patch Manager30

• Remplacement d'un bastion Internet avec Amazon EC2 Systems Manager31

Application de la protection au niveau du service La gestion soigneuse des configurations de sécurité des points de terminaison de service constitue la base de la manière dont vous allez maintenir un accès

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 18

sécurisé et autorisé à ces points de terminaison. Ce niveau de sécurité est nécessaire pour garantir que les utilisateurs et/ou les systèmes automatisés ont exactement le niveau d'accès nécessaires pour effectuer leurs tâches (moindre privilège).

Vous pouvez protéger les points de terminaison de services AWS en définissant des stratégies IAM. IAM peut vous aider à définir des stratégies pour l'accès aux services et opérations. Toutefois, dans certains services, vous pouvez également définir des contrôles précis à des ressources spécifiques au sein du service. En outre, certaines ressources ont leurs propres stratégies au niveau des ressources. Par exemple, Amazon S3 possède les politiques de compartiment pour définir les niveaux d'accès à des objets et/ou des compartiments entiers, et AWS Key Management Service (KMS) a des politiques pour définir les administrateurs et les utilisateurs des clés dans le service de gestion des clés. Utilisez IAM et les stratégies de ressources pour définir un schéma de protection robuste pour les ressources.

Lorsque vous définissez une approche de protection au niveau du service, veillez à appliquer une méthodologie de moindre niveau de privilège et à définir des stratégies d'accès au niveau du service en conséquence.

Principaux services AWS Le principal service AWS qui prend en charge la protection de niveau de service est AWS Identity and Access Management (IAM), qui vous permet de définir des stratégies spécifiques pour de nombreuses ressources AWS. Les services et fonctions suivants sont également importants :

• AWS Key Management Service (KMS) vous permet de définir des stratégies sur les clés individuelles.

• Amazon Simple Storage Service (S3) vous permet de définir des stratégies de compartiment pour chaque compartiment Amazon S3.

Ressources Reportez-vous aux ressources suivantes pour en savoir plus sur les meilleures pratiques AWS pour renforcer la protection au niveau du service.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 19

Documentation • Groupes de sécurité VPC32

• Utilisation de stratégies clé dans AWS KMS 33

• Utilisation de stratégies de compartiment et de stratégies utilisateur34

• Amazon Inspector35

Protection des données Avant de concevoir l'architecture d'un quelconque système, les pratiques de base qui influent sur la sécurité doivent être en place. Par exemple, la classification des données fournit un moyen de classifier les données organisationnelles en fonction des niveaux de sensibilité, et le chiffrement protège les données en les rendant inintelligibles en cas d'accès non autorisé. Ces outils et techniques sont importants, parce qu'ils prennent en charge des objectifs tels que la prévention des pertes financières ou la conformité aux obligations réglementaires.

Dans AWS, il existe un certain nombre de différentes approches à prendre en compte pour traiter la protection des données, la section suivante décrit comment utiliser ces approches :

• Classification des données

• Chiffrement/segmentation

• Protection des données au repos

• Protection des données en transit

• Sauvegarde / réplication / récupération des données

Classification des données La classification des données fournit un moyen de classifier les données organisationnelles en fonction des niveaux de sensibilité. Cela comprend la compréhension des types de données disponibles, de l'emplacement des données et des niveaux d'accès et de la protection des données (par exemple, par chiffrement ou contrôle d'accès). En gérant avec soin un système de classification des données approprié ainsi que les exigences de protection de chaque niveau, vous pouvez cartographier les contrôles et le niveau d'accès / protection appropriés aux données. Par exemple, le contenu accessible au public

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 20

est accessible à tous, tandis que le contenu critique est crypté et stocké d'une manière protégée qui nécessite une clé pour décrypter le contenu.

En utilisant des balises de ressource, les stratégies IAM, AWS KMS et AWS CloudHSM, vous pouvez définir et implémenter vos stratégies de classification des données. Par exemple, si vous avez des compartiments Amazon S3 qui contiennent des données hautement critique ou des instances EC2 qui traitent les données confidentielles, ils peuvent être balisées avec une balise « DataClassification = CRITICAL ». Vous pouvez définir des niveaux d'accès pour les clés de chiffrement par le biais de stratégies-clés pour garantir que les services appropriés ont accès aux données sensibles.

La classification des données peut également être mise en œuvre en utilisant des solutions tierces et open-source hébergées sur AWS. Vous pouvez également définir des niveaux d'accès aux ressources à l'aide de stratégies IAM, ainsi que les contrôles au niveau de l'application pour définir l'accès aux ressources accordées à chaque acteur.

Lorsque vous envisagez une méthodologie de classification des données, équilibrez convivialité et accès. Tenez également compte des multiples niveaux d'accès et des nuances pour la mise en œuvre d'une approche sécurisée mais toujours utilisable pour chaque niveau. Toujours envisager une approche de défense en profondeur. Par exemple, demandez aux utilisateurs de s'authentifier fortement auprès d'une application, et vous pouvez également vous assurer que les utilisateurs proviennent d'un chemin d'accès réseau sécurisé et doivent avoir accès aux clés de décryptage.

Principaux services AWS La fonctionnalité AWS clé prenant en charge la classification des données est le balisage des ressources, qui permet d'appliquer des balises personnalisées aux ressources. Les services et fonctions suivants sont également importants :

• AWS Key Management Service (KMS): Permet de définir les clés de chiffrement et les stratégies d'accès à ceux-ci.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS en matière de classification des données.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 21

Documentation • Balisage de vos ressources Amazon EC236

• Utilisation de stratégies clé dans AWS KMS37

• Utilisation de stratégies de compartiment et de stratégies utilisateur38

Chiffrement/Segmentation Le chiffrement et la segmentation sont deux programmes distincts mais importants en matière de protection des données. La segmentation est un processus qui vous permet de définir une séquence de données pour représenter une information sensible (une séquence peut par exemple représenter le numéro de carte de crédit d’un client). Une séquence doit être dénué de sens en soi. Le chiffrement est un moyen de transformer le contenu d'une manière qui le rend illisible sans une clé secrète nécessaire pour déchiffrer le contenu en texte brut. La segmentation et le chiffrement peuvent tous deux être utilisés pour sécuriser et protéger le contenu selon les besoins.

En définissant votre approche de segmentation, vous pouvez fournir une protection supplémentaire pour votre contenu, et vous pouvez vous assurer que vous respectez les différentes exigences en matière de conformité. Par exemple, la portée d'un système de traitement de carte de crédit peut être réduit si vous utilisez une séquence au lieu d'un numéro de carte de crédit. Vous pouvez définir votre propre segmentation du schéma en créant une table de recherche dans un chiffrement Amazon Relational Database Service (RDS) ou de base de données dans une base de données Amazon DynamoDB et émettre des jetons pour vos applications.

En définissant une approche de chiffrement, vous pouvez protéger votre contenu contre les utilisateurs non autorisés et contre toute exposition inutile aux utilisateurs autorisés. AWS fournit un service de gestion des clés de gestion des clés de chiffrement (AWS KMS). Ce service fournit un stockage durable, sécurisé et redondant pour vos clés principales. Vous pouvez définir vos alias de clé, ainsi que des stratégies au niveau des clés. Les stratégies vous permettent de définir des administrateurs de clé ainsi que des utilisateurs de clé. Par exemple, un système de gestion secret peut être le seul système qui a accès à la clé principale qui crypte les secrets pour le stockage.

Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 22

données en utilisant des appliances Hardware Security Module (HSM, module de sécurité matérielle) dédiées dans le cloud AWS. Avec AWS CloudHSM, vous contrôlez exclusivement les clés de chiffrement et les opérations cryptographiques effectuées par le HSM.

Lorsque vous définissez une approche de chiffrement/segmentation, tenez compte du modèle de classification des données que vous avez défini et des niveaux d'accès requis pour chaque contenu. Tenez compte des exigences de conformité et des besoins relatifs au contenu et de la manière d'activer cette approche de manière stricte. Examinez également attentivement les différences et les différents cas d'utilisation de la segmentation par rapport au chiffrement. Tenez compte des stratégies clés et des niveaux d'accès qui seraient fournis à l'utilisateur.

Principaux services AWS Le principal service AWS qui prend en charge le chiffrement est AWS Key Management Service (AWS KMS), qui fournit un service de gestion de clés convivial, sécurisé et redondant. Les services et fonctions suivants sont également importants :

• AWS CloudHSM : Fournit un module de sécurité matériel pour la gestion de vos clés

• Amazon DynamoDB : Fournit un moyen de mettre en place une base de données NoSQL très rapide. Cela peut être utilisé pour stocker le contenu chiffré pour vos séquences.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS en matière de chiffrement/segmentation.

Vidéo • Chiffrement et gestion des clés dans AWS39

Documentation

• Protection des données à l'aide d'un chiffrement40

• Service de gestion de clés AWS41

• AWS CloudHSM42

• Livre blanc sur les détails cryptographiques AWS KMS43

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 23

Protection des données au repos Les données au repos représente tout contenu que vous avez conservé pn’importe quelle durée. Cela inclut le stockage par bloc, stockage d'objets, bases de données, archives, et tout autre support de stockage sur lequel les données sont conservées. En protégeant vos données au repos, vous protégez les accès non autorisés et vous pouvez également vous protéger contre les fuites accidentelles de contenu, car elles sont inutiles si elles sont chiffrées à l'aide d'une clé de chiffrement suffisamment puissante.

Plusieurs services AWS offrent une intégration prédéfinie à AWS Key Management Service (KMS) pour permettre un cryptage rapide de votre stockage persistant. Amazon S3 vous permet de chiffrer le contenu en sélectionnant une clé KMS lors du téléchargement d'un objet. Amazon Elastic Block Store (EBS) vous permet de choisir une clé principale pour chiffrer un volume de stockage en mode bloc. Amazon Relational Database Service (RDS) vous permet de choisir une clé de chiffrement pour le chiffrement de stockage d'instance de base de données au repos (y compris les sauvegardes).

Vous avez également la possibilité de mettre en œuvre votre propre approche de données au repos. Par exemple, vous pouvez chiffrer le contenu en local et stocker du contenu chiffré. Amazon S3 vous permet de télécharger un objet déjà chiffré et vous permet également de télécharger un objet avec une clé de chiffrement utilisée en mémoire pour chiffrer un objet. Pour récupérer l'objet, vous devez fournir la même clé.

Lors de la mise en œuvre d'une approche de protection des données au repos, prenez en compte le modèle de classification des données de votre organisation pour vous assurer que la protection du contenu reflète vos objectifs internes. En outre, tenez compte des exigences de conformité ou de réglementation. Assurez-vous également que vous avez configuré le niveau d'accès correct aux clés, aux supports de stockage et à toutes les ressources de calcul ayant accès au contenu.

Principaux services AWS La fonction AWS clé qui protège les données au repos est l'AWS Key Management Service, qui fournit un service de gestion des clés facile à utiliser, sécurisé et redondant. Les services et fonctions suivants sont également importants :

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 24

• Amazon S3 : Fournit un service de stockage d'objets qui s'intègre à KMS et vous permet de fournir vos propres clés.

• Amazon Elastic Block Store (EBS) : Fournit un stockage par blocs intégré à AWS KMS, mais vous pouvez également effectuer un chiffrement au niveau du bloc avec vos outils de système d'exploitation ou des solutions tierces.

• Amazon Glacier : Fournit une solution d'archivage de données à long terme qui crypte le contenu au repos.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS de protection des données au repos.

Vidéo • Chiffrement et gestion des clés dans AWS44

Documentation

• Protection des données Amazon S3 à l'aide d'un chiffrement45

• Chiffrement d’Amazon EBS46

Protection des données en transit Les données en transit sont des contenus qui sont transmis d'un système à un autre. Cela inclut la communication entre les serveurs dans votre environnement, ainsi que la communication entre les autres services et vos utilisateurs finaux. En offrant le niveau approprié de protection de vos données en transit, vous protéger la confidentialité de vos utilisateurs finaux du contenu. Lors de la protection de vos données en transit, la sélection de protocoles qui implémentent TLS (Transport Layer Security) est une approche standard courante.

Les services AWS fournissent des points de terminaison HTTPS pour la communication, fournissant ainsi un cryptage en transit lors de la communication avec les API AWS. Vous disposez d'un contrôle total sur vos ressources informatiques pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, AWS Certificate Manager (ACM) vous offre la possibilité de gérer et déployer des certificats pour vos domaines.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 25

De plus, vous pouvez exploiter la connectivité VPN dans votre VPC ou entre vos VPC pour faciliter le chiffrement du trafic.

Lorsque vous planifiez une approche de chiffrement en transit, tenez compte de vos cas d'utilisation et de l'équilibre entre le chiffrement et la facilité d'utilisation. Tenez compte de l'utilisation de la connectivité VPN de votre centre de données vers AWS et examinez de manière sécurisée le protocole HTTPS pour la communication entre applications. En utilisant Elastic Load Balancing, Amazon CloudFront et Amazon Certificate Manager vous aident à créer, déployer et gérer les certificats utilisés pour le chiffrement TLS.

Principaux services AWS Le principal service AWS qui protège les données en transit est AWS Certificate Manager, ce qui vous permet de générer des certificats utilisés pour établir le transport chiffrés entre les systèmes. Les services et fonctions suivants sont également importants :

• Elastic Load Balancing : Classic Elastic Load Balancers et Application Load Balancers permettent de déployer et de gérer les équilibreurs de charge à l'aide de points de terminaison sécurisés.

• Amazon CloudFront : Prend en charge les points de terminaison chiffrés pour vos distributions de contenu.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour protéger les données en transit.

Documentation • AWS Certificate Manager47

• Comment répondre aux exigences PCI pour le cryptage des données en transit48

• Créer un équilibreur de charge classique avec un écouteur HTTPS49

Sauvegarde / Réplication / Récupération des données En définissant votre approche de sauvegarde, réplication et récupération de données, vous vous protégez contre la suppression ou la destruction de données. Une approche solide pour la sauvegarde des données et la réplication permet de

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 26

protéger vos données en cas de sinistre. Correctement sécurisés et protégées des sources de données primaires et secondaires peuvent assurer le maintien des opérations commerciales.

AWS vous offre plusieurs fonctionnalités et capacités de sauvegarde et de réplication des données. Amazon S3 est conçu pour garantir 99,999999999 % de durabilité des objets stockés dans le service et vous permet de créer des copies du contenu pouvant être copié vers d'autres emplacements et de bénéficier d'une protection supplémentaire. Amazon RDS réalise des sauvegardes de vos instances de base de données et vous permet de répliquer ces instances à d'autres emplacements. Les instantanés peuvent être réalisées à partir de volumes Amazon EBS et copiés entre régions. De plus, vous pouvez automatiser des tâches et des tâches planifiées pour effectuer des sauvegardes de ressources. Envisagez d'utiliser une fonction AWS Lambda pour émettre des sauvegardes à intervalles,réguliers.

Amazon Glacier est un service de stockage cloud à coût réduit, sécurisé et durable, optimisé pour l'archivage et la sauvegarde des données sur le long terme. Utilisez ce service de stockage économique de copies de sauvegarde. Ces copies peuvent être récupérées en cas de besoin, que ce soit pour des tests, des problèmes réglementaires ou des scénarii de sinistre.

Lorsque vous définissez votre approche de sauvegarde / réplication / récupération, assurez-vous de revoir les scénarii sous lesquels vous souhaitez être protégé ainsi que les nuances de chacun. Par exemple, Amazon RDS répliquera tous les changements accidentels, si vous avez la sauvegarde, vous pouvez être protégé contre les erreurs accidentelles en plus des actions malveillantes. Assurez-vous que vous disposez d'un processus défini pour la récupération de votre contenu. Vous devez prévoir le scénario d’une journée de simulation pour vous assurer que votre approche est efficace dans le cas d'un sinistre. En outre, envisagez de stocker des sauvegardes dans un compte différent avec un ensemble d'informations d'identification différent en cas de compromission majeure du compte principal.

Principaux services AWS Le principal service AWS qui prend en charge la sauvegarde, la réplication et la récupération des données est Amazon S3. Les services et fonctions suivants sont également important pour la sauvegarde et la réplication de données :

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 27

• La réplication inter-régions Amazon S3 est une fonctionnalité au niveau du compartiment Amazon S3 qui permet la copie automatique et asynchrone des objets dans des compartiments dans différentes régions AWS.

• Les stratégies et le contrôle de version du cycle de vie Amazon S3 vous permettent d'implémenter une stratégie de sauvegarde et de répondre aux exigences de rétention.

• Les opérations d'instantané Amazon Elastic Block Store vous permettent de sauvegarder vos volumes attachés aux instances EC2.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS pour la sauvegarde, la réplication et la récupération de données.

Documentation

• Processus de réplication entre régions au sein d'Amazon S350

• La gestion du cycle de vie des objets Amazon S351

• Gestion des versions d'un objet Amazon S352

• Instantanés Amazon EBS53

• Mise en route avec Amazon Glacier54

• Utilisation d'AWS Lambda avec les événements planifiés55

Réaction face aux incidents Même avec les contrôles de détection et de prévention extrêmement matures, les entreprises doivent toujours placer des processus en place pour répondre et atténuer l'impact potentiel d'incidents de sécurité. L'architecture de votre charge de travail affecte fortement la capacité de vos équipes à fonctionner efficacement pendant un incident, à isoler ou à contenir des systèmes, et à restaurer les opérations dans un état de bonne réputation. La mise en place des outils et de l'accès avant un incident de sécurité, puis la pratique régulière d'une réponse aux incidents vous aideront à vous assurer que votre architecture est mise à jour pour permettre une investigation et une récupération en temps opportun.

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 28

Dans AWS, il existe un certain nombre d'approches différentes à prendre en compte pour traiter la réponse aux incidents, la section Salle blanche décrit comment utiliser ces approches.

Salle blanche Dans chaque incident, le maintien de la conscience de la situation est l'un des principes les plus importants. En utilisant des balises pour décrire vos ressources AWS, les incidents intervenants peuvent rapidement déterminer l'impact potentiel d'un incident. Par exemple, le marquage d'instances et d'autres ressources avec un propriétaire ou une file d'attente de travail dans un système de ticketing permet à l'équipe d'engager les bonnes personnes plus rapidement. En attribuant des balises de classification des données des systèmes avec un attribut ou une criticité, l'impact d'un incident peut être évalué avec plus de précision.

Au cours d'un incident, les personnes compétentes doivent avoir accès pour isoler et contenir l'incident, puis effectuer un examen et identifier la cause profonde rapidement. Dans certains cas, l'équipe en charge de répondre aux incidents est activement impliqués dans la correction et la récupération. Déterminer comment obtenir l'accès pour les personnes compétentes au milieu d'un incident retarde le temps de réponse nécessaire, et peut introduire d'autres points faibles de sécurité si l'accès est partagé ou mal provisionné sous pression. Déterminez l'accès dont les membres de votre équipe ont besoin à l'avance, puis confirmez régulièrement que l'accès est approprié et en place - ou facilement déclenché - en cas de besoin.

Dans AWS, vous pouvez utiliser la puissance de l'API pour automatiser la plupart des tâches courantes qui doivent être effectuées au cours d'un incident et des examens ultérieurs. Par exemple, vous pouvez isoler une instance en modifiant les groupes de sécurité associés à une instance ou en la supprimant dans un équilibreur de charge. L'architecture de votre charge de travail à l'aide d'Auto Scaling permet potentiellement de supprimer le nœud sous investigation de la capacité sans affecter la disponibilité de vos applications.

Pour capturer l'image disque ou la configuration «telle quelle» d'un système d'exploitation, les équipes peuvent utiliser les instantanés Amazon EBS et les API Amazon EC2 Amazon Machine Image (AMI) pour capturer les données et l'état des systèmes sous investigation. Le stockage d'instantanés et d'artefacts

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 29

d'incidents connexes dans Amazon S3 ou Amazon Glacier garantit que les données seront disponibles et conservées, le cas échéant.

Au cours d'un incident, avant que la cause première n’ait été identifiée et que l'incident n’ait été circonscrit, il peut être difficile de mener des enquêtes dans un environnement non sécurisé. Unique à AWS, les professionnels de la sécurité peuvent utiliser AWS CloudFormation pour créer rapidement un nouvel environnement fiable dans lequel mener une enquête approfondie. Le modèle CloudFormation peut pré-configurer des instances dans un environnement isolé qui contient tous les outils nécessaires aux besoins des équipes judiciaires afin de déterminer la cause de l'incident. Cela réduit le temps requis pour collecter les outils nécessaires, examiner les systèmes isolés et garantir que l'équipe fonctionne dans une salle blanche.

Principaux services AWS Plusieurs principaux services et fonctionnalités AWS sont indispensables pour affiner une réponse aux incidents :

• Amazon Identity and Access Management (IAM) doit être utilisé pour accorder l'autorisation appropriée aux équipes d'intervention en cas d'incident.

• AWS CloudFormation peut être utilisé pour créer un environnement fiable pour mener des enquêtes plus approfondies.

• Les API Amazon EC2 peuvent être utilisées pour isoler des instances et atténuer l'impact d'un incident de sécurité.

Ressources Consultez les ressources suivantes pour en savoir plus sur les bonnes pratiques AWS en matière de gestion des incidents.

Vidéos

• AWS re : Invent 2015 (SEC308) Evénements menaçant la sécurité dans le cloud56

• AWS re : Invent 2014 (SEC404) Réponse aux incidents dans le cloud57

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 30

Documentation • Analyse des réactions face aux incidents de sécurité et criminalistique

sur AWS58

Conclusion La sécurité est un effort continu. Lorsque des incidents se produisent, ils doivent être traités comme des opportunités pour améliorer la sécurité de l'architecture. Avoir de solides contrôles d'authentification et d'autorisation, automatiser les réponses aux événements de sécurité, protéger l'infrastructure à plusieurs niveaux et gérer des données bien classifiées avec un cryptage fournit une défense en profondeur à laquelle toute entreprise doit s'attendre. Cet effort est plus facile grâce aux fonctions programmatiques et aux fonctionnalités et services AWS présentés dans ce document.

AWS s'efforce de vous aider à créer et exploiter des architectures qui protègent les informations, les systèmes et les actifs tout en offrant une valeur commerciale. Pour rendre vos architectures vraiment sécurisées, vous devez utiliser les outils et les techniques décrits dans ce document.

Participants Les personnes et organisations suivantes ont participé à l'élaboration de ce document :

• Philip Fitzsimons, directeur principal Well-Architected, Amazon Web Services

• Bill Shinn, architecte principal de solutions de sécurité, Amazon Web Services

• Sam Elmalak, architecte de solutions, Amazon Web Services

Suggestions de lecture Pour obtenir de l'aide, consultez les ressources suivantes :

• Livre blanc AWS Well-Architected Framework59

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 31

Historique du document 26 mai 2017 Mise à jour de la section Configuration et maintenance de la sécurité du système pour refléter les nouveaux services et fonctionnalités AWS.

Notes 1 https://aws.amazon.com/architecture/well-architected/

2 https://aws.amazon.com/compliance/shared-responsibility-model/

3 https://www.youtube.com/watch?v=_wiGpBQGCjU&feature=youtu.be

4 https://www.youtube.com/watch?v=-XARG9W2bGc&feature=youtu.be

5 http://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html

6 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html

7 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

8 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html

9 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 32

10

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html

11 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions.html

12 http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

13 http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html

14 https://www.youtube.com/watch?v=v1c9eYT6EWM

15 https://www.youtube.com/watch?v=SpXZtN0Pjzw

16 https://www.youtube.com/watch?v=ddz0JmCTTsU

17 http://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html

18 http://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 33

19 https://github.com/awslabs/aws-config-rules

20 https://aws.amazon.com/inspector/

21 https://www.youtube.com/watch?v=HexrVfuIY1k

22 https://aws.amazon.com/documentation/vpc/

23 http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

24 http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

25 http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html

26 https://aws.amazon.com/ec2/systems-manager/

27 https://aws.amazon.com/ec2/systems-manager/run-command/

28 https://aws.amazon.com/ec2/systems-manager/state-manager/

29 https://aws.amazon.com/ec2/systems-manager/inventory/

30 https://aws.amazon.com/ec2/systems-manager/patch-manager/

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 34

31 https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-

ec2-systems-manager/

32 http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

33 http://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

34 http://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html

35 https://aws.amazon.com/documentation/inspector/

36 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

37 http://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

38 http://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html

39 https://www.youtube.com/watch?v=uhXalpNzPU4

40 http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

41 https://aws.amazon.com/kms/

42 https://aws.amazon.com/cloudhsm/

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 35

43 https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf

44 https://www.youtube.com/watch?v=uhXalpNzPU4

45 http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

46 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html

47 https://aws.amazon.com/blogs/security/how-to-address-the-pci-dss-requirements-for-data-encryption-in-transit-using-amazon-vpc/

48 https://aws.amazon.com/blogs/security/how-to-address-the-pci-dss-requirements-for-data-encryption-in-transit-using-amazon-vpc/

49 http://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html

50 http://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html

51 http://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html

52 http://docs.aws.amazon.com/AmazonS3/latest/dev/ObjectVersioning.html

53 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html

Amazon Web Services - Pilier Sécurité AWS Well-Architected Framework

Page 36

54 http://docs.aws.amazon.com/amazonglacier/latest/dev/amazon-glacier-

getting-started.html

55 http://docs.aws.amazon.com/lambda/latest/dg/with-scheduled-events.html

56 https://www.youtube.com/watch?v=uc1Q0XCcCv4

57 https://www.youtube.com/watch?v=nzSrRvADh6g

58 https://www.slideshare.net/AmazonWebServices/security-incident-response-and-forensics-on-aws

59 https://d0.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf