Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
FAQ sur la sécurité
AMS fournit une follow-the-sun assistance 24 heures sur 24, 7 jours sur 7 et 365 jours par an via des centres d'opérations Des ingénieurs opérationnels AMS dédiés surveillent activement les tableaux de bord et les files d'attente d'incidents. En général, AMS gère vos comptes par le biais de l'automatisation. Dans de rares circonstances nécessitant une expertise spécifique en matière de dépannage ou de déploiement, un ingénieur des opérations AMS peut accéder à vos AWS comptes.
Les questions suivantes sont fréquemment posées sur les meilleures pratiques de sécurité, les contrôles, les modèles d'accès et les mécanismes d'audit utilisés par AMS Accelerate lorsqu'un ingénieur des opérations ou un automate AMS accède à vos comptes.
Quand les ingénieurs opérationnels d'AMS accèdent-ils à mes environnements ?
Les ingénieurs opérationnels d'AMS n'ont pas un accès permanent à vos comptes ou instances. L'accès aux comptes clients est accordé aux opérateurs AMS uniquement pour des cas d'utilisation commerciale justifiables, tels que les alertes, les incidents, les demandes de modification, etc. L'accès est documenté dans AWS CloudTrail des journaux.
Pour la justification de l'accès, les déclencheurs et les initiateurs de déclencheurs, voirDéclencheurs d'accès au compte client AMS.
Quels sont les rôles des ingénieurs d'exploitation AMS lorsqu'ils accèdent à mes comptes ?
Dans les rares cas (~ 5 %) qui nécessitent une intervention humaine dans votre environnement, les ingénieurs opérationnels d'AMS se connectent à votre compte avec un rôle d'accès par défaut en lecture seule. Le rôle par défaut n'a accès à aucun contenu couramment stocké dans des magasins de données, tels qu'Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift et Amazon. ElastiCache
Pour obtenir la liste des rôles dont les ingénieurs d'exploitation et les systèmes AMS ont besoin pour fournir des services dans votre compte, consultezAccès au compte client AMS | Rôles IAM.
Comment un ingénieur des opérations AMS accède-t-il à mon compte ?
Pour accéder aux comptes clients, les ingénieurs opérationnels d'AMS utilisent un service d'accès AMS AWS interne. Ce service interne n'est disponible que par le biais d'un canal privé sécurisé afin que l'accès à vos comptes soit sécurisé et audité.
Les ingénieurs opérationnels d'AMS utilisent l'authentification interne du service d'accès AMS ainsi qu'une authentification à deux facteurs. De plus, l'ingénieur des opérations doit fournir une justification commerciale (ticket d'incident ou numéro de demande de service) expliquant la nécessité d'accéder à votre AWS compte.
Sur la base de l'autorisation de l'ingénieur des opérations, le service d'accès AMS fournit à l'ingénieur le rôle approprié (Read-only/Operator/Admin) et l'URL de connexion à votre AWS console. L'accès à votre compte est de courte durée et limité dans le temps.
Pour accéder aux EC2 instances Amazon, les ingénieurs opérationnels d'AMS utilisent le même service d'accès AMS interne que le courtier. Une fois l'accès accordé, les ingénieurs d'exploitation AMS peuvent accéder AWS Systems Manager Session Manager à vos instances avec des informations d'identification de session de courte durée.
Pour fournir un accès RDP aux instances Windows, l'ingénieur des opérations utilise Amazon EC2 Systems Manager pour créer un utilisateur local sur l'instance et établir une redirection de port vers l'instance. L'ingénieur des opérations utilise les informations d'identification de l'utilisateur local pour l'accès RDP à l'instance. Les informations d'identification de l'utilisateur local sont supprimées à la fin de la session.
Le schéma suivant décrit le processus utilisé par les ingénieurs d'exploitation d'AMS pour accéder à votre compte :
Comment suivre les modifications apportées par AMS dans mes AWS comptes gérés par AMS ?
Accès au compte
Pour vous aider à suivre les modifications apportées par l'automatisation ou par l'équipe opérationnelle d'AMS Accelerate, AMS fournit l'interface SQL Change record dans la console Amazon Athena et les journaux AMS Accelerate. Ces ressources fournissent les informations suivantes :
Qui a accédé à votre compte.
Quand le compte a été consulté.
Quels privilèges ont été utilisés pour accéder à votre compte.
Quelles modifications ont été apportées par AMS Accelerate à votre compte ?
Pourquoi les modifications ont été apportées à votre compte.
Configuration des ressources
Consultez CloudTrail les journaux pour suivre les configurations de vos AWS ressources au cours des 90 derniers jours. Si votre configuration date de plus de 90 jours, accédez aux journaux dans Amazon S3.
Journaux d'instance
L' CloudWatch agent Amazon collecte les journaux du système d'exploitation. Consultez les CloudWatch journaux pour voir les journaux de connexion et les autres journaux d'actions pris en charge par votre système d'exploitation.
Pour de plus amples informations, veuillez consulter Suivi des modifications apportées à vos comptes AMS Accelerate.
Quels sont les contrôles de processus permettant à l'ingénieur des opérations AMS d'accéder à mon compte ?
Avant de rejoindre AMS, les ingénieurs des opérations sont soumis à une vérification de leurs antécédents criminels. Dans la mesure où les ingénieurs d'AMS gèrent l'infrastructure des clients, ils sont également soumis à une vérification annuelle obligatoire de leurs antécédents. Si un ingénieur échoue à la vérification des antécédents, l'accès est révoqué.
Tous les ingénieurs opérationnels d'AMS doivent suivre une formation de sécurité obligatoire, telle que la sécurité de l'infrastructure, la sécurité des données et la réponse aux incidents avant de pouvoir accéder aux ressources.
Comment sont gérés les accès privilégiés ?
Un sous-ensemble d'utilisateurs doit suivre une formation supplémentaire et conserver des droits d'accès privilégiés pour un accès élevé. L'accès et l'utilisation sont inspectés et audités. AMS limite l'accès privilégié à des circonstances exceptionnelles ou lorsque l'accès au moindre privilège ne permet pas de répondre à votre demande. L'accès privilégié est également limité dans le temps.
Les ingénieurs d'exploitation d'AMS utilisent-ils le MFA ?
Oui. Tous les utilisateurs doivent utiliser le MFA et la preuve de présence pour vous fournir des services.
Qu'advient-il de leur accès lorsqu'un employé d'AMS quitte l'organisation ou change de rôle ?
L'accès aux comptes et aux ressources des clients est fourni par le biais de l'adhésion à un groupe interne. L'adhésion est basée sur des critères stricts, notamment le rôle professionnel spécifique, le responsable des rapports et le statut professionnel chez AMS. Si la famille de tâches d'un ingénieur des opérations change ou si son nom d'utilisateur est désactivé, l'accès est révoqué.
Quels contrôles d'accès régissent l'accès des ingénieurs d'exploitation AMS à mes comptes ?
Il existe plusieurs niveaux de contrôles techniques pour appliquer les principes du « besoin de savoir » et du « moindre privilège » en matière d'accès à votre environnement. Voici une liste des contrôles d'accès :
Tous les ingénieurs d'exploitation doivent faire partie d'un AWS groupe interne spécifique pour accéder aux comptes et aux ressources des clients. L'adhésion à un groupe est strictement basée sur le besoin de savoir et est automatisée selon des critères prédéfinis.
AMS pratique un accès « non persistant » à votre environnement. Cela signifie que l'accès à vos AWS comptes par les opérations AMS se fait « just-in-time » avec des informations d'identification de courte durée. L'accès à vos comptes n'est accordé qu'après qu'une justification de l'analyse de rentabilisation interne (demande de service, incident, demande de gestion des modifications, etc.) a été soumise et examinée.
AMS applique le principe du moindre privilège. Par conséquent, les ingénieurs d'exploitation autorisés supposent un accès en lecture seule par défaut. L'accès en écriture n'est utilisé par les ingénieurs que lorsque des modifications de votre environnement sont nécessaires en raison d'un incident ou d'une demande de modification.
AMS utilise des AWS Identity and Access Management rôles standard facilement identifiables qui utilisent le préfixe « ams » pour surveiller et gérer vos comptes. Tous les accès sont enregistrés AWS CloudTrail pour que vous puissiez les auditer.
AMS utilise des outils de backend automatisés pour détecter les modifications non autorisées apportées à votre compte pendant la phase de validation des informations client lors de l'exécution des modifications.
Comment AMS surveille-t-il l'accès des utilisateurs root ?
L'accès root déclenche toujours le processus de réponse aux incidents. AMS utilise le système GuardDuty de détection Amazon pour surveiller l'activité de l'utilisateur root. S'il GuardDuty génère une alerte, AMS crée un événement pour une enquête plus approfondie. AMS vous avertit si une activité inattendue du compte root est détectée, et l'équipe de sécurité AMS lance une enquête.
Comment l'AMS réagit-il aux incidents de sécurité ?
AMS enquête sur les événements de sécurité générés par des services de détection tels qu'Amazon GuardDuty, Amazon Macie, et par des problèmes de sécurité signalés par des clients. AMS collabore avec votre équipe d'intervention en matière de sécurité pour exécuter le processus de réponse aux incidents de sécurité (SIR). Le processus AMS SIR est basé sur le framework NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide, et fournit une réponse de sécurité
Quels sont les cadres et certifications standard du secteur auxquels AMS adhère ?
Comme les autres AWS services, AWS Managed Services est certifié OSPAR, HIPAA, HITRUST, RGPD, SOC*, ISO*, FedRAMP (Medium/High), IRAP et PCI. Pour plus d'informations sur les certifications de conformité des clients, les réglementations et les cadres qui AWS s'y conforment, consultez la section Conformité AWS
Rambardes de sécurité
AWS Managed Services utilise de multiples contrôles pour protéger vos actifs informationnels et vous aider à garantir la sécurité de votre AWS infrastructure. AMS Accelerate gère une bibliothèque de AWS Config règles et d'actions correctives pour vous aider à vous assurer que vos comptes sont conformes aux normes du secteur en matière de sécurité et d'intégrité opérationnelle. AWS Config les règles suivent en permanence les modifications de configuration sur vos ressources enregistrées. Si une modification enfreint les conditions d'une règle, AMS vous fait part de ses conclusions. Vous pouvez corriger les violations automatiquement ou sur demande, en fonction de la gravité de la violation.
AMS utilise des AWS Config règles pour répondre aux exigences des normes suivantes :
Centre pour la sécurité Internet (CIS)
Cadre de sécurité cloud (CSF) du National Institute of Standards and Technology (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI)
Pour de plus amples informations, consultez Gestion de la sécurité dans AMS Accelerate.
Comment puis-je accéder aux derniers rapports sur la certification de sécurité, les cadres et la conformité AWS ?
Vous pouvez accéder aux rapports de sécurité et de conformité actuels pour les AWS services en utilisant les méthodes suivantes :
Vous pouvez l'utiliser AWS Artifact
pour télécharger le dernier rapport sur la sécurité, la disponibilité et la confidentialité d'un AWS service. Pour obtenir une liste de la plupart AWS des services, y compris AWS Managed Services, qui sont conformes aux cadres de conformité mondiaux, consultezhttps://aws.amazon.com/compliance/services-in-scope/
. Par exemple, sélectionnez PCI et recherchez AWS Managed Services. Vous pouvez rechercher « AMS » pour trouver des artefacts de sécurité spécifiques à AMS provenant d'un AWS compte géré par AMS. AWS Managed Services est concerné par le SOC 3
. Le rapport AWS SOC 2 (System and Organizations Controls) est publié dans le AWS Artifact référentiel. Ce rapport évalue les AWS contrôles qui répondent aux critères de sécurité, de disponibilité et de confidentialité énoncés dans la section 100 du TSP de l'American Institute of Certified Public Accountants (AICPA), intitulée Trust Services Criteria.
AMS partage-t-il des diagrammes d'architecture de référence illustrant les différents aspects des fonctionnalités d'AMS ?
Pour consulter l'architecture de référence AMS, téléchargez le PDF AWS Managed Services for Proactive Monitoring.
Comment AMS vérifie-t-elle qui accède à mes comptes et quels sont les besoins de l'entreprise en matière d'accès ?
Pour garantir la continuité du service et la sécurité de vos comptes, AMS accède à votre compte ou à vos instances uniquement en réponse à des problèmes de santé ou de maintenance proactifs, à des événements liés à la santé ou à la sécurité, à des activités planifiées ou à des demandes des clients. L'accès à vos comptes est autorisé par le biais des processus AMS tels que décrits dans le modèle d'accès d'AMS Accelerate. Ces flux d'autorisation contiennent des barrières de sécurité pour empêcher tout accès accidentel ou inapproprié. Dans le cadre du flux d'accès, AMS fournit au système d'autorisation un besoin commercial. Ce besoin professionnel peut être un élément de travail associé à votre compte, tel qu'un dossier que vous avez ouvert auprès d'AMS. L'entreprise peut également avoir besoin d'un flux de travail autorisé, tel que la solution d'application de correctifs. Tout accès nécessite une justification validée, vérifiée et autorisée en temps réel par les systèmes AMS internes sur la base de règles métier afin d'aligner les demandes d'accès sur les besoins de l'entreprise.
Les ingénieurs opérationnels d'AMS ne sont pas autorisés à accéder à vos comptes s'ils ne répondent pas à des besoins commerciaux valides. Tous les accès aux comptes et les besoins commerciaux associés sont AWS CloudTrail enregistrés dans vos AWS comptes. Cela garantit une transparence totale et vous donne la possibilité d'effectuer vos propres audits et inspections. Outre votre inspection, AMS effectue des inspections automatisées et effectue une inspection manuelle des demandes d'accès, selon les besoins, et réalise des audits de l'outillage et de l'accès humain pour examiner les accès anormaux.
Les ingénieurs d'AMS ont-ils accès à mes données stockées dans un service de stockage de AWS données, tel qu'Amazon S3, Amazon RDS, DynamoDB et Amazon Redshift ?
Les ingénieurs d'AMS n'ont pas accès au contenu client stocké dans les AWS services couramment utilisés pour le stockage de données. L'accès aux données AWS APIs utilisées pour lire, écrire, modifier ou supprimer des données dans ces services est limité par une politique de refus IAM explicite associée aux rôles IAM utilisés pour l'accès des ingénieurs AMS. En outre, les garde-fous internes et les automatisations de l'AMS empêchent les ingénieurs d'exploitation d'AMS de supprimer ou de modifier les conditions de refus.
Les ingénieurs d'AMS ont-ils accès aux données clients stockées dans Amazon EBS, Amazon EFS et Amazon FSx ?
Les ingénieurs AMS peuvent se connecter aux EC2 instances Amazon en tant qu'administrateurs. L'accès de l'administrateur est requis pour la correction dans certains scénarios qui incluent, sans toutefois s'y limiter, les problèmes liés au système d'exploitation (OS) et les défaillances de correctifs. Les ingénieurs AMS accèdent généralement au volume du système pour résoudre les problèmes détectés. Cependant, l'accès pour les ingénieurs d'AMS n'est ni limité ni limité au volume du système.
Comment l'accès est-il restreint ou contrôlé pour les rôles d'automatisation dotés de privilèges élevés pour mes environnements ?
Le ams-access-admin rôle est utilisé exclusivement par AMS Automation. Ces automatisations déploient, gèrent et maintiennent les ressources requises utilisées par AMS pour les déployer dans vos environnements pour la collecte de données de télémétrie, de santé et de sécurité afin d'exécuter des fonctions opérationnelles. Les ingénieurs AMS ne peuvent pas assumer de rôles d'automatisation et sont limités par le mappage des rôles dans les systèmes internes. Au moment de l'exécution, AMS applique dynamiquement une politique de session avec le moindre privilège à chaque automatisation. Cette politique de session limite les capacités et les autorisations de l'automatisation.
Comment AMS met-il en œuvre le principe du moindre privilège tel que préconisé dans le AWS Well-Architected Framework pour les rôles d'automatisation ?
Au moment de l'exécution, AMS applique une politique de session limitée, avec le moindre privilège, à chaque automatisation. Cette politique de session limitée limite les capacités et les autorisations de l'automatisation. Les politiques de session qui disposent des autorisations nécessaires pour créer des ressources IAM doivent également associer une limite d'autorisation. Cette limite d'autorisation réduit le risque d'augmentation des privilèges. Chaque équipe adopte une politique de session qui n'est utilisée que par cette équipe.
Quels sont les systèmes de journalisation et de surveillance utilisés pour détecter les tentatives d'accès non autorisées ou les activités suspectes impliquant des rôles d'automatisation ?
AWS gère des référentiels centralisés qui fournissent des fonctionnalités essentielles d'archivage des journaux à usage interne par les équipes de AWS service. Ces journaux sont stockés dans Amazon S3 pour garantir une évolutivité, une durabilité et une disponibilité optimales. AWS les équipes de service peuvent ensuite collecter, archiver et consulter les journaux de service dans un service de journal central.
Les hôtes de production AWS sont déployés à l'aide d'images de référence principales. Les images de référence sont équipées d'un ensemble standard de configurations et de fonctions qui incluent la journalisation et la surveillance à des fins de sécurité. Ces journaux sont stockés et accessibles par les équipes AWS de sécurité à des fins d'analyse des causes premières en cas d'incident de sécurité suspect.
Les journaux d'un hôte donné sont accessibles à l'équipe propriétaire de cet hôte. Les équipes peuvent consulter leurs journaux à des fins d'analyse opérationnelle et de sécurité.
Comment sont gérés les incidents ou violations de sécurité concernant l'infrastructure d'automatisation, et quels protocoles contribuent à une réponse et à une atténuation rapides ?
AWS les plans d'urgence et les manuels de réponse aux incidents ont défini et testé des outils et des processus pour détecter, atténuer, étudier et évaluer les incidents de sécurité. Ces plans et playbooks incluent des directives pour répondre aux violations de données potentielles conformément aux exigences contractuelles et réglementaires.
Des évaluations de sécurité, des analyses de vulnérabilité et des tests de pénétration sont-ils régulièrement effectués sur l'infrastructure d'automatisation ?
AWS Security analyse régulièrement les vulnérabilités des systèmes d'exploitation hôtes, des applications Web et des bases de données de l' AWS environnement à l'aide de divers outils. AWS Les équipes de sécurité s'abonnent également aux fils d'actualités pour détecter les failles applicables aux fournisseurs et surveillent de manière proactive les sites Web des fournisseurs et les autres points de vente pertinents pour détecter les nouveaux correctifs.
Comment l'accès à l'infrastructure d'automatisation est-il limité au personnel autorisé uniquement ?
L'accès aux AWS systèmes est attribué en fonction du moindre privilège et approuvé par une personne autorisée. Les tâches et les domaines de responsabilité (par exemple, la demande et l'approbation d'accès, la demande et l'approbation de la gestion des modifications, le développement des modifications, les tests et le déploiement, etc.) sont répartis entre différentes personnes afin de réduire les modifications non autorisées ou involontaires ou l'utilisation abusive des systèmes. AWS Les comptes de groupe ou partagés ne sont pas autorisés dans les limites du système.
Quelles sont les mesures mises en œuvre pour respecter les normes de sécurité et empêcher les accès non autorisés ou les violations de données dans le pipeline d'automatisation ?
L'accès aux ressources, notamment aux services, aux hôtes, aux périphériques réseau et aux groupes Windows et UNIX, est approuvé dans le système de gestion des autorisations AWS propriétaire par le propriétaire ou le responsable approprié. Le journal de l'outil de gestion des autorisations enregistre les demandes de modification d'accès. Les modifications apportées aux fonctions du poste révoquent automatiquement l'accès de l'employé aux ressources. L'accès continu pour cet employé doit être demandé et approuvé.
AWS nécessite une authentification à deux facteurs via un canal cryptographique approuvé pour l'authentification sur le AWS réseau interne à partir de sites distants. Les dispositifs pare-feu limitent l'accès à l'environnement informatique, renforcent les limites des clusters informatiques et restreignent l'accès aux réseaux de production.
Des processus sont mis en œuvre pour protéger les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. Les dossiers d'audit contiennent un ensemble d'éléments de données destinés à répondre aux exigences d'analyse nécessaires. En outre, les enregistrements d'audit sont mis à la disposition des utilisateurs autorisés à des fins d'inspection ou d'analyse à la demande, et en réponse à des événements liés à la sécurité ou ayant un impact sur l'activité.
Les droits d'accès des utilisateurs aux AWS systèmes (par exemple, au réseau, aux applications, aux outils, etc.) sont révoqués dans les 24 heures suivant la résiliation ou la désactivation. Les comptes utilisateurs inactifs sont désactivés et and/or supprimés au moins tous les 90 jours.
La détection ou la surveillance des anomalies sont-elles activées pour les accès ou la journalisation des audits pour détecter l'augmentation des privilèges ou les abus d'accès afin d'alerter de manière proactive l'équipe AMS ?
Les hôtes de production de AWS sont équipés d'un système de journalisation pour des raisons de sécurité. Ce service enregistre les actions humaines sur les hôtes, y compris les connexions, les tentatives d'ouverture de session infructueuses et les fermetures de session. Ces journaux sont stockés et accessibles par les équipes AWS de sécurité à des fins d'analyse des causes premières en cas d'incident de sécurité suspect. Les journaux d'un hôte donné sont également accessibles à l'équipe propriétaire de cet hôte. Un outil d'analyse des journaux frontal est à la disposition des équipes de service qui souhaitent consulter leurs journaux à des fins d'analyse opérationnelle et de sécurité. Des processus sont mis en œuvre pour protéger les journaux et les outils d'audit contre tout accès, modification et suppression non autorisés. L'équipe AWS de sécurité effectue une analyse des journaux pour identifier les événements en fonction de paramètres de gestion des risques définis.
Quels types de données clients sont extraits des comptes gérés par AMS, et comment sont-ils utilisés et stockés ?
AMS n'accède à votre contenu ni ne l'utilise à quelque fin que ce soit. AMS définit le contenu client comme un logiciel (y compris des images de machine), des données, du texte, du son, de la vidéo ou des images vers lesquels un client ou un utilisateur final transfère à des AWS fins de traitement, de stockage ou d'hébergement Services AWS en lien avec le compte d'un client, ainsi que tout résultat de calcul qu'un client ou son utilisateur final obtient de ce qui précède en utilisant ce qui précède. Services AWS
