Protection des données dans AMS - Guide de l'utilisateur avancé d'AMS
Amazon MacieGuardDutyPare-feu DNS Amazon Route 53 ResolverAWS Certificate Manager certificat (ACM)Chiffrement des données dans AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AMS

AMS surveille en permanence vos comptes gérés en tirant parti de AWS services natifs tels qu'Amazon GuardDuty, Amazon Macie (en option) et d'autres outils et processus internes propriétaires. Après le déclenchement d'une alarme, AMS assume la responsabilité du triage initial et de la réponse à l'alarme. Nos processus de réponse sont basés sur les normes du NIST. AMS teste régulièrement ses processus de réponse à l'aide de la simulation de réponse aux incidents de sécurité avec vous afin d'aligner votre flux de travail sur les programmes de réponse de sécurité existants pour les clients.

Lorsqu'AMS détecte une violation, ou une menace imminente de violation, de vos politiques de AWS sécurité, nous collectons des informations, y compris les ressources concernées et les modifications liées à la configuration. AMS fournit une follow-the-sun assistance 24 heures sur 24, 7 jours sur 7 et 365 jours par an grâce à des opérateurs dédiés qui examinent et étudient activement les tableaux de bord de surveillance, la file d'attente des incidents et les demandes de service sur tous vos comptes gérés. AMS examine les résultats avec nos experts en sécurité afin d'analyser l'activité et de vous informer par le biais des contacts d'escalade de sécurité répertoriés dans votre compte.

Sur la base de nos résultats, AMS interagit avec vous de manière proactive. Si vous pensez que l'activité est non autorisée ou suspecte, AMS travaille avec vous pour enquêter et corriger ou contenir le problème. Certains types de résultats générés par vous GuardDuty obligent à confirmer l'impact avant qu'AMS ne puisse prendre des mesures. Par exemple, le type de GuardDuty recherche UnauthorizedAccessIAMUser:/ ConsoleLogin indique que l'un de vos utilisateurs s'est connecté depuis un emplacement inhabituel ; AMS vous avertit et vous demande de revoir le résultat pour confirmer si ce comportement est légitime.

Amazon Macie

AWS Managed Services vous recommande d'utiliser Macie pour détecter une liste importante et complète de données sensibles, telles que des informations médicales personnelles (PHI), des informations personnelles identifiables (PII) et des données financières.

Macie peut être configuré pour s'exécuter régulièrement sur n'importe quel compartiment Amazon S3, automatisant ainsi l'évaluation de tout objet nouveau ou modifié dans un compartiment au fil du temps. Au fur et à mesure que des résultats de sécurité sont générés, AMS vous en informera et travaillera avec vous pour y remédier si nécessaire.

Pour plus d'informations, consultez Analyser les résultats d'Amazon Macie.

Sécurité Amazon Macie

Macie est un service de sécurité intelligence/AI artificiel qui vous aide à prévenir les pertes de données en découvrant, en classant et en protégeant automatiquement les données sensibles stockées sur AWS. Macie utilise l'apprentissage automatique pour reconnaître les données sensibles telles que les informations personnelles identifiables (PII) ou la propriété intellectuelle, attribuer une valeur commerciale et fournir une visibilité sur l'endroit où ces données sont stockées et sur la manière dont elles sont utilisées dans votre organisation. Macie surveille en permanence les activités d'accès aux données pour détecter les anomalies et émet des alertes lorsqu'il détecte un risque d'accès non autorisé ou de fuite de données par inadvertance. Le service Macie prend en charge Amazon S3 et les sources AWS CloudTrail de données.

AMS surveille en permanence les alertes provenant de Macie et, en cas d'alerte, prend des mesures rapides pour protéger vos ressources et votre compte. Avec l'ajout de Macie à la liste des services pris en charge par AMS, nous sommes également désormais responsables de l'activation et de la configuration de Macie dans tous vos comptes, conformément à vos instructions. Vous pouvez consulter les alertes Macie et nos actions au fur et à mesure qu'elles se déroulent dans la console AWS ou dans les intégrations prises en charge. Lors de l'enregistrement du compte, vous pouvez indiquer les comptes que vous utilisez pour stocker des informations personnelles. Pour tous les nouveaux comptes dotés d'informations personnelles, nous vous recommandons d'utiliser Macie. Pour les comptes existants avec des informations personnelles, contactez-nous et nous les activerons dans votre compte. Ainsi, vous pouvez bénéficier d'une couche de protection supplémentaire et profiter de tous les avantages de Macie dans votre environnement AWS géré par AMS.

AMS Macie FAQs

  • Pourquoi ai-je besoin de Macie alors que Trend Micro est GuardDuty activé sur tous les comptes AMS ?

    Macie vous aide à protéger vos données dans Amazon S3 en vous aidant à classer les données dont vous disposez, leur valeur pour l'entreprise et le comportement associé à l'accès à ces données. Amazon GuardDuty fournit une protection étendue de vos comptes, de vos charges de travail et de vos données AWS en vous aidant à identifier les menaces telles que la reconnaissance des acteurs malveillants, les problèmes d'instance et les activités problématiques du compte. Les deux services intègrent l'analyse du comportement des utilisateurs, l'apprentissage automatique et la détection des anomalies pour détecter les menaces dans leurs catégories respectives. Trend Micro ne se concentre pas sur l'identification des informations personnelles et des menaces qui en découlent.

  • Comment activer Macie sur mon compte AMS ?

    Si vous avez PII/PHI enregistré des données dans vos comptes ou si vous envisagez de les stocker, contactez votre CSDM ou soumettez une demande de service pour activer Macie pour vos comptes nouveaux ou existants gérés par AMS.

  • Quelles sont les implications financières liées à l'activation de Macie sur mon compte AMS ?

    La tarification Macie fonctionne pour AMS de la même manière que pour d'autres services tels qu'Amazon Elastic Compute Cloud (Amazon EC2). Vous payez pour Amazon Macie en fonction de votre utilisation et pour un AMS Uplift en fonction de votre. SLAs Les frais Macie sont basés sur l'utilisation, voir la tarification d'Amazon Macie, mesurée en AWS CloudTrail fonction des événements et du stockage Amazon S3. Notez que les frais de Macie ont tendance à s'aplatir à partir du deuxième mois suivant son activation, car ils sont facturés en fonction des données incrémentielles ajoutées aux compartiments Amazon S3.

Pour en savoir plus sur Macie, consultez Amazon Macie.

GuardDuty

GuardDuty est un service de surveillance continue de la sécurité qui utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, et l'apprentissage automatique pour identifier les activités inattendues, potentiellement non autorisées et malveillantes au sein de votre environnement AWS. Cela peut inclure des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification exposées ou la communication avec des adresses IP ou des domaines malveillants. GuardDuty surveille également le comportement d'accès aux comptes Amazon Web Services pour détecter les signes de compromission, tels que les déploiements d'infrastructure non autorisés, tels que le déploiement d'instances dans une région qui n'a jamais été utilisée, ou les appels d'API inhabituels, tels que la modification d'une politique de mot de passe visant à réduire la solidité du mot de passe. Pour plus d'informations, consultez le guide de GuardDuty l'utilisateur.

Pour consulter et analyser vos GuardDuty résultats, procédez comme suit.

  1. Ouvrez la GuardDuty console.

  2. Choisissez Conclusions, puis choisissez une constatation spécifique pour afficher les détails. Les détails de chaque constatation diffèrent selon le type de découverte, les ressources impliquées et la nature de l'activité.

Pour plus d'informations sur les champs de recherche disponibles, consultez la section Détails de la GuardDuty recherche.

GuardDuty sécurité

Amazon GuardDuty propose une solution de détection des menaces qui vous permet de surveiller et de protéger en permanence vos comptes et charges de travail AWS. Amazon GuardDuty analyse les flux continus de métadonnées générés par votre compte et l'activité du réseau trouvés dans les AWS CloudTrail événements, les journaux de flux Amazon VPC et les journaux DNS (Domain Name System). Il utilise également des informations intégrées sur les menaces, telles que les adresses IP malveillantes connues, la détection des anomalies et l'apprentissage automatique pour identifier les menaces avec plus de précision. GuardDuty est un service AMS surveillé. Pour en savoir plus sur la GuardDuty surveillance d'Amazon, consultezGuardDuty surveillance. Pour en savoir plus GuardDuty, consultez Amazon GuardDuty.

Tous les nouveaux comptes AMS sont GuardDuty activés par défaut. AMS se configure GuardDuty lors de l'intégration du compte. Vous pouvez soumettre des demandes de modification pour modifier les paramètres à tout moment. GuardDuty la tarification fonctionne pour AMS de la même manière que pour d'autres services tels qu'Amazon Elastic Compute Cloud (Amazon EC2). Vous payez GuardDuty en fonction de votre utilisation et une augmentation de l'AMS en fonction de votre. SLAs GuardDuty les frais sont basés sur l'utilisation (Amazon GuardDuty Pricing), mesurés en fonction AWS CloudTrail des événements et du volume de votre journal Amazon VPC Flow.

GuardDuty Dans AMS, les principales catégories de détection suivantes sont activées :

  • Reconnaissance : activité suggérant une reconnaissance par un acteur malveillant, telle qu'une activité inhabituelle d'API, une analyse des ports intra-VPC, des modèles inhabituels de demandes de connexion échouées ou une analyse de port débloquée à partir d'une adresse IP défectueuse connue.

  • Problème lié à l'instance : activité problématique de l'instance, telle que le minage de cryptomonnaies, les logiciels malveillants utilisant des algorithmes de génération de domaines (DGA), le déni de service sortant, le volume anormalement élevé de trafic réseau, les protocoles réseau inhabituels, les communications d'instance sortantes avec une adresse IP malveillante connue, les EC2 informations d'identification Amazon temporaires utilisées par une adresse IP externe et l'exfiltration de données à l'aide du DNS.

  • Activité du compte : les modèles courants indiquant l'activité du compte incluent les appels d'API provenant d'un proxy de géolocalisation ou d'anonymisation inhabituel, les tentatives de désactivation de la AWS CloudTrail journalisation, les lancements d'instances ou d'infrastructures inhabituels, les déploiements d'infrastructure dans une région AWS inhabituelle et les appels d'API provenant d'adresses IP malveillantes connues.

AMS les utilise GuardDuty dans vos comptes gérés pour surveiller en permanence les résultats et les alertes GuardDuty et, en cas d'alerte, AMS Operations prend des mesures proactives pour protéger vos ressources et votre compte. Vous pouvez consulter GuardDuty les résultats et nos actions au fur et à mesure de leur évolution dans la console AWS ou dans les intégrations prises en charge.

GuardDuty fonctionne avec Trend Micro Deep Security Manager dans votre compte. Trend Micro Deep Security Manager fournit des services de détection et de prévention des intrusions basés sur l'hôte. Les services de réputation Web de Trend Micro se recoupent GuardDuty dans une certaine mesure en termes de capacité à détecter lorsqu'un hôte tente de communiquer avec un hôte ou un service Web connu pour constituer une menace. Il GuardDuty fournit toutefois des catégories de détection de menaces supplémentaires et y parvient en surveillant le trafic réseau, une méthode complémentaire de la détection basée sur l'hôte de Trend Micro. La détection des menaces basée sur le réseau permet de renforcer la sécurité en empêchant les contrôles d'échouer si l'hôte présente un comportement problématique. AMS recommande de l'utiliser GuardDuty dans tous vos comptes AMS.

Pour en savoir plus sur Trend Micro, consultez le centre d'aide de Trend Micro Deep Security ; notez que les liens n'appartenant pas à Amazon peuvent être modifiés sans préavis.

GuardDuty surveillance

GuardDuty vous informe de l'état de votre environnement AWS en produisant des résultats de sécurité qu'AMS capture et sur lesquels il peut émettre des alertes.

Amazon GuardDuty surveille la sécurité de votre environnement AWS en analysant et en traitant les journaux de flux VPC, les journaux d' AWS CloudTrail événements et les journaux du système de noms de domaine. Vous pouvez étendre cette portée de surveillance en configurant GuardDuty de manière à utiliser également vos propres listes d'adresses IP fiables et listes de menaces personnalisées.

  • Les listes d'adresses IP fiables sont constituées d'adresses IP que vous avez autorisées à communiquer de manière sécurisée avec votre infrastructure et vos applications AWS. GuardDuty ne génère pas de résultats pour les adresses IP figurant sur des listes d'adresses IP fiables. À tout moment, vous pouvez avoir seulement une liste d'adresses IP approuvées chargée par compte AWS et par région.

  • Les listes de menaces sont constituées d'adresses IP malveillantes connues. GuardDuty génère des résultats basés sur des listes de menaces. À tout moment, vous pouvez avoir jusqu'à six listes de menaces chargées par compte AWS et par région.

Pour la mise en œuvre GuardDuty, utilisez le logiciel AMS CT Deployment | Monitoring and notification | GuardDuty IP set | Create (ct-08avsj2e9mc7g) pour créer un ensemble d'adresses IP approuvées. Vous pouvez également utiliser l'outil AMS CT Deployment | Monitoring and notification | GuardDuty Threat Intel Set | Create (ct-25v6r7t8gvkq5) pour créer un ensemble d'adresses IP refusées.

Pour obtenir la liste des services surveillés par AMS, consultezQu'est-ce que le système de surveillance AMS surveille ?.

Pare-feu DNS Amazon Route 53 Resolver

Amazon Route 53 Resolver répond de manière récursive aux requêtes DNS provenant AWS des ressources relatives aux archives publiques, aux noms DNS spécifiques à Amazon VPC et aux zones hébergées privées Amazon Route 53. Il est disponible par défaut dans tous les domaines. VPCs Avec Route 53 Resolver DNS Firewall, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des collections réutilisables de règles de filtrage dans les groupes de règles de pare-feu DNS, associez les groupes de règles à votre VPC, puis contrôlez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS en conséquence. Pour plus d'informations, voir Utilisation du pare-feu DNS pour filtrer le trafic DNS sortant.

Pour afficher et gérer la configuration de votre pare-feu DNS Route 53 Resolver, suivez la procédure suivante :

  1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/vpc/

  2. Sous Pare-feu DNS, sélectionnez Groupes de règles.

  3. Vérifiez, modifiez ou supprimez votre configuration existante, ou créez un nouveau groupe de règles. Pour plus d'informations, consultez Comment fonctionne le pare-feu DNS Route 53 Resolver.

Surveillance et sécurité du pare-feu DNS Amazon Route 53 Resolver

Le pare-feu DNS Amazon Route 53 utilise les concepts d'associations de règles, d'action des règles et de priorité d'évaluation des règles. Une liste de domaines est un ensemble réutilisable de spécifications de domaine que vous utilisez dans une règle de pare-feu DNS, à l'intérieur d'un groupe de règles. Lorsque vous associez un groupe de règles à un VPC, le pare-feu DNS compare vos requêtes DNS aux listes de domaines qui sont utilisées dans les règles. Si le pare-feu DNS trouve une correspondance, il gère la requête DNS conformément à l'action de la règle correspondante. Pour plus d'informations sur les groupes de règles et les règles, consultez la section Groupes de règles et règles du pare-feu DNS.

Les listes de domaines se répartissent en deux catégories principales :

  • Des listes de domaines gérées, AWS créées et mises à jour pour vous.

  • Vos propres listes de domaines, que vous créez et gérez.

Les groupes de règles sont évalués en fonction de leur indice de priorité d'association.

Par défaut, AMS déploie une configuration de base composée des règles et groupes de règles suivants :

  • Un groupe de règles nomméDefaultSecurityMonitoringRule. Le groupe de règles possède la priorité d'association la plus élevée disponible au moment de la création pour chaque VPC existant dans chaque VPC activé. Région AWS

  • Une règle nommée DefaultSecurityMonitoringRule avec la priorité 1 au sein du groupe de DefaultSecurityMonitoringRule règles, utilisant la liste des domaines AWSManagedDomainsAggregateThreatList gérés avec l'action ALERT.

Si vous avez une configuration existante, la configuration de base est déployée avec une priorité inférieure à celle de votre configuration existante. Votre configuration existante est la configuration par défaut. Vous utilisez la configuration de base AMS comme fourre-tout si votre configuration existante ne fournit pas d'instructions prioritaires sur la manière de gérer la résolution des requêtes. Pour modifier ou supprimer la configuration de référence, effectuez l'une des opérations suivantes :

Si votre compte est géré en mode développeur ou en mode changement direct, vous pouvez effectuer les modifications vous-même.

AWS Certificate Manager certificat (ACM)

AMS dispose d'un certificat CT, Deployment | Advanced stack components | ACM avec SANs | Create (ct-3l14e139i5p50) supplémentaire, que vous pouvez utiliser pour soumettre une demande de certificat AWS Certificate Manager, avec jusqu'à cinq noms alternatifs de sujet (SAN) supplémentaires (tels que example.com, example.net et example.org). Pour plus de détails, voir Qu'est-ce que c'est AWS Certificate Manager ? et caractéristique du certificat ACM.

Note

Ce paramètre de délai d'expiration ne concerne pas uniquement l'exécution, mais également votre validation du certificat ACM par le biais de la validation par e-mail. Sans votre validation, le RFC échoue.

Chiffrement des données dans AMS

AMS utilise plusieurs AWS services pour le chiffrement des données, notamment Amazon Simple Storage Service AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift, Amazon ElastiCache, AWS Lambda, et OpenSearch Amazon Service.

Amazon S3

Amazon S3 offre plusieurs options de chiffrement d'objet qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre vos objets avant de les enregistrer sur les disques des centres de données, puis les déchiffre lorsque vous téléchargez les objets. Tant que vous authentifiez votre demande et que vous avez des autorisations d’accès, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Pour plus d'informations, consultez la section Protection des données dans Amazon S3.

Amazon EBS

Avec le chiffrement Amazon EBS, vous n'avez pas besoin de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement Amazon EBS utilise des AWS KMS clés lors de la création de volumes chiffrés et de snapshots. Les opérations de chiffrement ont lieu sur les serveurs qui hébergent EC2 les instances Amazon. Ceci est fait pour garantir la sécurité à la fois data-at-rest data-in-transit entre une instance et son stockage Amazon EBS attaché. Vous pouvez attacher simultanément des volumes chiffrés et des volumes non chiffrés à une instance. Pour en savoir plus, consultez la page Chiffrement Amazon EBS.

Amazon RDS

Amazon RDS peut chiffrer vos instances de base de données Amazon RDS. Les données chiffrées au repos incluent le stockage sous-jacent pour les instances de base de données, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés. Les instances de base de données cryptées Amazon RDS utilisent l'algorithme de chiffrement standard AES-256 pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement. Pour plus d'informations, veuillez consulter Chiffrer des ressources Amazon RDS.

Amazon Simple Queue Service

Outre l'option de chiffrement côté serveur (SSE) géré par Amazon SQS par défaut, le SSE géré par Amazon SQS (SSE-SQS) vous permet de créer un chiffrement géré personnalisé côté serveur qui utilise des clés de chiffrement gérées par Amazon SQS pour protéger les données sensibles envoyées via des files d'attente de messages. Le chiffrement côté serveur (SSE) vous permet de transmettre des données sensibles dans des files d'attente cryptées. SSE protège le contenu des messages dans les files d'attente à l'aide de clés de chiffrement gérées par Amazon SQS (SSE-SQS) ou de clés gérées dans (SSE-KMS). AWS KMS Pour plus d'informations sur la gestion de SSE à l'aide de AWS Management Console, consultez la section Chiffrement au repos.

Chiffrement des données au repos

OpenSearch Les domaines de service offrent le chiffrement des données au repos, une fonctionnalité de sécurité qui permet d'empêcher tout accès non autorisé à vos données. La fonctionnalité utilise AWS Key Management Service (AWS KMS) pour stocker et gérer vos clés de chiffrement et l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256) pour effectuer le chiffrement. Pour plus d'informations, consultez la section Chiffrement des données au repos pour Amazon OpenSearch Service.

Gestion des clés

AWS KMS est un service géré qui vous permet de créer et de contrôler facilement les clés principales du client (CMKs), les clés de chiffrement utilisées pour chiffrer vos données. AWS KMS CMKs sont protégés par des modules de sécurité matériels (HSMs) validés par le programme de validation des modules cryptographiques FIPS 140-2, sauf dans les régions de Chine (Pékin) et de Chine (Ningxia). Pour plus d'informations, consultez Qu'est-ce qu'AWS Key Management Service ?