Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ingénierie des plateformes

Créez un environnement cloud multi-comptes sécurisé et conforme avec des produits cloud intégrés et réutilisables.

Pour soutenir l'innovation en habilitant les équipes de développement, la plateforme doit s'adapter rapidement afin de répondre aux exigences de l'entreprise. (Voir le point de vue commercial AWS de la CAF.) Il doit le faire tout en étant suffisamment flexible pour s'adapter aux exigences de gestion des produits, suffisamment rigide pour respecter les contraintes de sécurité et suffisamment rapide pour répondre aux besoins opérationnels. Ce processus nécessite la création d'un environnement cloud multicompte conforme doté de fonctionnalités de sécurité améliorées et de produits cloud intégrés et réutilisables. 

Un environnement cloud efficace permet à vos équipes de créer facilement de nouveaux comptes tout en garantissant que ces comptes sont conformes aux politiques de l'organisation. Un ensemble de produits cloud sélectionnés vous permet de codifier les meilleures pratiques, de faciliter la gouvernance et d'accroître la rapidité et la cohérence de vos déploiements dans le cloud. Déployez vos plans de bonnes pratiques et vos garde-fous de détection et de prévention. Intégrez votre environnement cloud à votre environnement existant pour permettre les cas d'utilisation du cloud hybride souhaités.

Automatisez le flux de travail de provisionnement des comptes et utilisez plusieurs comptes pour atteindre vos objectifs de sécurité et de gouvernance. Configurez la connectivité entre vos environnements sur site et dans le cloud, ainsi qu'entre les différents comptes cloud. Mettez en œuvre la fédération entre votre fournisseur d'identité (IdP) existant et votre environnement cloud afin que les utilisateurs puissent s'authentifier à l'aide de leurs identifiants de connexion existants. Centralisez la journalisation, établissez des audits de sécurité entre comptes, créez des résolveurs DNS entrants et sortants et bénéficiez d'une visibilité sur le tableau de bord de vos comptes et de vos barrières de sécurité.

Évaluez et certifiez les services cloud destinés à la consommation conformément aux normes de l'entreprise et à la gestion des configurations. Package et amélioration continue des normes d'entreprise sous forme de produits déployables en libre-service et de services consommables. Tirez parti de l'infrastructure en tant que code (IaC) pour définir les configurations de manière déclarative. Créez des équipes chargées de promouvoir la plateforme auprès des développeurs et des utilisateurs professionnels et de leur permettre de créer des intégrations qui accélèrent l'adoption au sein de votre organisation.

Pour accomplir les tâches décrites dans les sections suivantes, vous devez renforcer les capacités et les équipes nécessaires pour faire évoluer vos organisations vers une ingénierie de plateforme moderne. Pour obtenir des informations techniques, consultez le AWS livre blanc Etablishing your Cloud Foundation on.

Démarrer

Construisez une zone d'atterrissage et déployez des rambardes

Lorsque vous entamez votre transition vers une ingénierie de plateforme mature, vous devez d'abord déployer votre zone d'atterrissage avec des barrières de sécurité détectives et préventives, telles que définies dans la capacité de l'architecture de la plateforme. Les garde-fous garantissent que les normes organisationnelles ne sont pas violées lorsque les propriétaires d'applications consomment des ressources du cloud. Grâce à ce mécanisme, vous automatisez le flux de travail de provisionnement des comptes afin d'utiliser plusieurs comptes qui répondent à vos objectifs de sécurité et de gouvernance. 

Établissez l'authentification

Mettez en œuvre la gestion des identités et le contrôle d'accès dans tous les environnements, systèmes, charges de travail et processus conformément aux normes dictées dans la perspective de la sécurité de AWS CAF. En ce qui concerne les identités du personnel, limitez l'utilisation des utilisateurs AWS Identity and Access Management (IAM) et faites plutôt confiance à un fournisseur d'identité qui vous permet de gérer les identités de manière centralisée. Cela facilite la gestion de l'accès à plusieurs applications et services, car vous créez, gérez et révoquez l'accès à partir d'un seul emplacement. Utilisez les processus existants pour gérer la création, la mise à jour et la suppression de l'accès afin d'inclure vos AWS environnements.

Déployez votre réseau

Conformément aux conceptions de l'architecture de votre plateforme, créez un compte réseau centralisé pour contrôler le trafic entrant et sortant à destination et en provenance de votre environnement. Nous vous recommandons de concevoir vos réseaux pour fournir rapidement une connectivité entre votre réseau sur site et vos AWS environnements, vers et depuis Internet, et entre vos AWS environnements. La centralisation de la gestion de votre réseau vous permet de déployer des contrôles réseau pour isoler les réseaux et la connectivité au sein de votre environnement en utilisant des contrôles préventifs et réactifs.

Collectez, agrégez et protégez les données des événements et des journaux

Utilisez l'observabilité CloudWatch entre comptes Amazon. Il fournit une interface unifiée pour rechercher, visualiser et analyser les métriques, les journaux et les traces sur vos comptes associés, et élimine les limites des comptes.

Si votre entreprise a des exigences de conformité spécifiques en matière de contrôle et de sécurité centralisés des journaux, envisagez de configurer un compte d'archivage des journaux dédié. Cela offre un référentiel centralisé et crypté spécialement pour les données de journal. Améliorez la sécurité de cette archive en alternant régulièrement les clés de chiffrement.

Mettez en œuvre des politiques robustes pour protéger les données sensibles des journaux, en utilisant des techniques de masquage si nécessaire. Utilisez l'agrégation des journaux pour les journaux de conformité, de sécurité et d'audit, et veillez à utiliser des garde-fous et des structures d'identité stricts pour empêcher toute modification non autorisée des configurations des journaux.

Mettre en place des contrôles

Conformément aux définitions du point de vue de la sécurité de la AWS CAF, déployez des fonctionnalités de sécurité de base qui répondent aux exigences de votre entreprise. Déployez des contrôles préventifs et de détection supplémentaires, et configurez-les de manière programmatique et cohérente sur tous vos comptes, le cas échéant. Intégrez des contrôles de détection dans les outils opérationnels tels que définis par les capacités de l'architecture de la plate-forme afin que les ressources non conformes puissent être examinées par les mécanismes opérationnels.

Mettre en œuvre la gestion financière dans le cloud

Conformément à la perspective de gouvernance de la AWS CAF, mettez en œuvre des balises de répartition des coûts et des catégories de AWS coûts qui alignent la stratégie de balisage de votre organisation sur la responsabilité financière en matière de consommation du cloud. AWS Cost Categories vous permet de facturer ou de restituer les frais liés au cloud aux centres de coûts internes à l'aide d'outils tels que AWS Cost Explorerles données de facturation publiées dans AWS Cost and Usage Report.  

Avance

Automatisez l'infrastructure

Avant de poursuivre, évaluez et certifiez les services cloud destinés à la consommation conformément à l'architecture de votre plateforme. Ensuite, regroupez et améliorez continuellement les normes de l'entreprise sous forme de produits déployables et de services consommables, et utilisez l'infrastructure en tant que code (IaC) pour définir les configurations de manière déclarative. L'automatisation de l'infrastructure imite les cycles de développement des logiciels en permettant l'accès à des services spécifiques dans chaque compte grâce au contrôle d'accès basé sur les rôles (RBAC) ou au contrôle d'accès basé sur les attributs (ABAC). Déployez une méthode pour approvisionner rapidement de nouveaux comptes et les aligner sur vos capacités de gestion des services et des incidents en utilisant APIs ou en développant des fonctionnalités en libre-service. Automatisez l'intégration réseau et l'allocation d'adresses IP lors de la création de comptes afin de garantir la conformité et la sécurité du réseau. Intégrez de nouveaux comptes à votre solution de gestion des services informatiques (ITSM) à l'aide de connecteurs natifs configurés pour fonctionner. AWS Mettez à jour vos playbooks et runbooks comme il convient.

Fournir des services d'observabilité centralisés

Pour obtenir une observabilité efficace dans le cloud, votre plateforme doit prendre en charge la recherche et l'analyse en temps réel des données de journal locales et centralisées. À mesure que vos opérations évoluent, la capacité de votre plateforme à indexer, visualiser et interpréter les journaux, les métriques et les traces est essentielle pour transformer les données brutes en informations exploitables.

En corrélant les journaux, les métriques et les traces, vous pouvez en tirer des conclusions exploitables et élaborer des réponses ciblées et éclairées. Établissez des règles qui permettent de réagir de manière proactive aux événements ou aux modèles de sécurité identifiés dans vos journaux, statistiques ou traces. À mesure que vos AWS solutions se développent, assurez-vous que votre stratégie de surveillance évolue en parallèle afin de maintenir et d'améliorer vos capacités d'observabilité.

Mettre en œuvre la gestion des systèmes et la gouvernance des AMI

Organisations qui utilisent de manière intensive les instances Amazon Elastic Compute Cloud (Amazon EC2) ont besoin d'outils opérationnels pour gérer les instances à grande échelle. La gestion des actifs logiciels, la détection et la réponse aux terminaux, la gestion des stocks, la gestion des vulnérabilités et la gestion des accès sont des fonctionnalités fondamentales pour de nombreuses entreprises.  Ces fonctionnalités sont souvent fournies par le biais d'agents logiciels installés sur les instances. Développez une capacité permettant de regrouper des agents et d'autres configurations personnalisées dans Amazon Machine Images (AMIs), et de les mettre à la AMIs disposition des utilisateurs de la plateforme cloud. Utilisez des contrôles préventifs et de détection qui régissent leur utilisation. AMIs AMIs devrait contenir des outils permettant de gérer des EC2 instances de longue durée à grande échelle, en particulier pour les charges de travail EC2 Amazon mutables qui n'en consomment pas régulièrement de AMIs nouvelles. Vous pouvez l'utiliser AWS Systems Managerà grande échelle pour automatiser les mises à niveau des agents, collecter l'inventaire du système, accéder aux EC2 instances à distance et corriger les vulnérabilités du système d'exploitation.

Gérer l'utilisation des informations d'identification

Conformément au point de vue de la sécurité des AWS FAC, implémentez des rôles et des informations d'identification temporaires. Utilisez des outils pour gérer l'accès à distance aux instances ou aux systèmes sur site à l'aide d'un agent préinstallé sans stocker de secrets. Réduisez le recours aux informations d'identification à long terme et recherchez les informations d'identification codées en dur dans vos modèles iAc. Si vous ne pouvez pas utiliser d'informations d'identification temporaires, utilisez des outils de programmation tels que des jetons d'application et des mots de passe de base de données pour automatiser la rotation et la gestion des informations d'identification. Codifiez les utilisateurs, les groupes et les rôles en utilisant le principe du moindre privilège avec IaC, et empêchez la création manuelle de comptes d'identité en utilisant des garde-fous.

Mettre en place des outils de sécurité

Les outils de surveillance de la sécurité doivent prendre en charge la surveillance granulaire de la sécurité de l'infrastructure, des applications et des charges de travail et fournir des vues agrégées pour l'analyse des modèles. Comme pour tous les autres outils de gestion de la sécurité, vous devez étendre vos outils de détection et de réponse étendus (XDR) pour fournir des fonctions permettant d'évaluer, de détecter, de répondre et de remédier à la sécurité de vos applications, ressources et environnements conformément aux exigences définies AWS dans la perspective de sécurité de la AWS CAF.

Excel

Sourcez et distribuez des constructions d'identité grâce à l'automatisation

Codifiez et éditez les structures d'identité telles que les rôles, les politiques et les modèles à l'aide des outils IaC. Utilisez les outils de validation des politiques pour vérifier les avertissements de sécurité, les erreurs, les avertissements généraux, les modifications suggérées à vos politiques IAM et d'autres résultats. Le cas échéant, déployez et supprimez les structures d'identité qui fournissent un accès temporaire à l'environnement de manière automatisée, et interdisez le déploiement par les utilisateurs de la console.

Ajoutez la détection et les alertes en cas de modèles anormaux dans les environnements

Évaluez les environnements de manière proactive pour détecter les vulnérabilités connues et ajoutez la détection des événements et des modèles d'activité inhabituels. Passez en revue les résultats et faites des recommandations aux équipes chargées de l'architecture des plateformes pour les changements qui favorisent l'efficacité et l'innovation. 

Analyser et modéliser les menaces

Mettez en œuvre une surveillance et des mesures continues par rapport aux normes du secteur et de sécurité conformément aux exigences du point de vue de la AWS CAF Security. Lorsque vous mettez en œuvre votre approche d'instrumentation, déterminez les types de données et d'informations sur les événements qui éclaireront le mieux vos fonctions de gestion de la sécurité. Cette surveillance englobe plusieurs vecteurs d'attaque, notamment l'utilisation des services. Vos bases de sécurité doivent inclure une fonctionnalité complète de journalisation et d'analyse sécurisées dans vos environnements multi-comptes, notamment la possibilité de corréler des événements provenant de sources multiples. Empêchez toute modification de cette configuration à l'aide de commandes et de glissières de sécurité spécifiques. 

Collectez, révisez et affinez en permanence les autorisations

Enregistrez les modifications apportées aux rôles d'identité et aux autorisations et mettez en œuvre des alertes lorsque des garde-fous détectent des écarts par rapport à l'état de configuration attendu. Utilisez des outils d'identification agrégés et de modèles pour examiner votre collection centralisée d'événements et affiner les autorisations selon les besoins.

Sélectionnez, mesurez et améliorez en permanence les indicateurs de votre plateforme

Pour permettre le bon fonctionnement de la plateforme, établissez et révisez régulièrement des indicateurs complets. Assurez-vous qu'ils correspondent aux objectifs de l'organisation et aux besoins des parties prenantes. Suivez à la fois les performances et les indicateurs d'amélioration de la plateforme, et combinez les paramètres opérationnels tels que les correctifs, les sauvegardes et la conformité à l'aide d'indicateurs d'habilitation des équipes et d'adoption des outils.

Utilisez l'CloudWatchobservabilité entre comptes pour une gestion efficace des métriques. Ce service rationalise l'agrégation et la visualisation des données pour permettre des décisions éclairées et des améliorations ciblées. Utilisez ces indicateurs comme indicateurs de succès et moteurs de changement pour favoriser un environnement d'amélioration continue.