Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Étude de cas indicative pour atteindre la maturité d'Essential Eight sur AWS
Ce chapitre présente une étude de cas indicative pour une agence gouvernementale ciblant la maturité d'Essential Eight sur AWS.
**Topics**
+ [Vue d'ensemble du scénario et de l'architecture](scenario.md)
+ [Exemple de charge de travail : lac de données sans serveur](serverless-data-lake.md)
+ [Exemple de charge de travail : service Web conteneurisé](containerised-web-service.md)
+ [Exemple de charge de travail : logiciel COTS sur Amazon EC2](cots-software.md)
# Vue d'ensemble du scénario et de l'architecture
L'agence gouvernementale a trois charges de travail dans les AWS Cloud domaines suivants :
+ Un [lac de données sans serveur](serverless-data-lake.md) qui utilise Amazon Simple Storage Service (Amazon S3) pour le stockage AWS Lambda et pour les opérations d'extraction, de transformation et de chargement (ETL)
+ Un [service Web conteneurisé](containerised-web-service.md) qui s'exécute sur Amazon Elastic Container Service (Amazon ECS) et utilise une base de données dans Amazon Relational Database Service (Amazon RDS)
+ Un [logiciel commercial off-the-shelf (COTS)](cots-software.md) exécuté sur Amazon EC2
Une *équipe cloud* fournit une plate-forme centralisée à l'organisation, exécutant les principaux services pour l' AWS environnement. Une équipe cloud fournit des services de base pour l' AWS environnement. Chaque charge de travail appartient à une *équipe d'application* distincte, également appelée équipe de *développement ou équipe* *de livraison*.
## Architecture de base
L'équipe du cloud a déjà mis en place les fonctionnalités suivantes dans AWS Cloud :
+ La fédération d'identités est liée AWS IAM Identity Center à Microsoft leur instance Entra ID (anciennement *Azure Active Directory*). La fédération applique le MFA, l'expiration automatique des comptes utilisateurs et l'utilisation d'informations d'identification de courte durée par le Gestion des identités et des accès AWS biais de rôles (IAM).
+ Un pipeline d'AMI centralisé est utilisé pour appliquer des correctifs aux systèmes d'exploitation et aux applications principales avec EC2 Image Builder.
+ Amazon Inspector est activé pour identifier les vulnérabilités, et tous les résultats de sécurité sont envoyés à Amazon GuardDuty pour une gestion centralisée.
+ Les mécanismes établis sont utilisés pour mettre à jour les règles de contrôle des applications, répondre aux événements de cybersécurité et examiner les lacunes en matière de conformité.
+ AWS CloudTrail est utilisé pour la journalisation et la surveillance.
+ Les événements de sécurité, tels que la connexion de l'utilisateur root, déclenchent des alertes.
+ SCPs et les politiques relatives aux points de terminaison VPC établissent les périmètres de données de vos environnements. AWS
+ SCPs empêcher les équipes chargées des applications de désactiver les services de sécurité et de journalisation, tels que CloudTrail et AWS Config.
+ AWS Config les résultats sont regroupés pour l'ensemble de AWS l'organisation en un seul Compte AWS pour la sécurité.
+ Le [pack de conformité AWS Config ACSC Essential 8](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) est activé dans l'ensemble de votre Comptes AWS organisation.
# Exemple de charge de travail : lac de données sans serveur
Cette charge de travail en est un exemple[Thème 1 : Utiliser les services gérés](theme-1.md).
Le lac de données utilise Amazon S3 pour le stockage et AWS Lambda pour l'ETL. Ces ressources sont définies dans une AWS Cloud Development Kit (AWS CDK) application. Les modifications apportées au système sont déployées via AWS CodePipeline. Ce pipeline est réservé à l'équipe chargée de l'application. Lorsque l'équipe chargée de l'application effectue une pull request pour le référentiel de code, la [règle des deux personnes](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html) est utilisée.
Pour cette charge de travail, l'équipe chargée des applications prend les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.
*Contrôle des applications*
+ L'équipe chargée de l'application active la [protection Lambda](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) et le scan GuardDuty [Lambda dans Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html).
+ L'équipe chargée de l'application met en œuvre des mécanismes pour inspecter et [gérer les résultats d'Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial).
*Applications de correctifs*
+ L'équipe chargée de l'application active le scan Lambda dans Amazon Inspector et configure les alertes pour les bibliothèques obsolètes ou vulnérables.
+ L'équipe chargée de l'application permet AWS Config de suivre les AWS ressources pour la découverte des actifs.
*Restreindre les privilèges administratifs*
+ Comme décrit dans la [Architecture de base](scenario.md#core-architecture) section, l'équipe chargée de l'application restreint déjà l'accès aux déploiements de production par le biais d'une règle d'approbation sur son pipeline de déploiement.
+ L'équipe chargée de l'application s'appuie sur les solutions de fédération d'identité et de journalisation centralisées décrites dans la [Architecture de base](scenario.md#core-architecture) section.
+ L'équipe chargée de l'application crée un AWS CloudTrail parcours et des CloudWatch filtres Amazon.
+ L'équipe chargée de l'application configure les alertes Amazon Simple Notification Service (Amazon SNS) CodePipeline pour les déploiements AWS CloudFormation et les suppressions de piles.
*Corrigez les systèmes d'exploitation*
+ L'équipe chargée de l'application active le scan Lambda dans Amazon Inspector et configure les alertes pour les bibliothèques obsolètes ou vulnérables.
*Authentification multifacteur*
+ L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la [Architecture de base](scenario.md#core-architecture) section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.
*Sauvegardes régulières*
+ L'équipe chargée des applications stocke le code, tel que AWS CDK les applications et les fonctions et configurations Lambda, dans un référentiel de [code](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/).
+ L'équipe chargée de l'application active le versionnement et Amazon S3 Object Lock pour empêcher la suppression ou la modification d'objets.
+ L'équipe chargée de l'application s'appuie sur la durabilité intégrée d'Amazon S3 plutôt que de répliquer l'intégralité de son ensemble de données sur un autre Région AWS.
+ L'équipe chargée de l'application exécute une copie de la charge de travail dans un autre appareil Région AWS répondant à ses exigences en matière de souveraineté des données. Ils utilisent les tables globales Amazon DynamoDB et Amazon [S3 Cross-Replication pour répliquer automatiquement les données de la région](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario) principale vers la région secondaire.
# Exemple de charge de travail : service Web conteneurisé
Cette charge de travail en est un exemple[Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés](theme-2.md).
Le service Web s'exécute sur Amazon ECS et utilise une base de données dans Amazon RDS. L'équipe chargée de l'application définit ces ressources dans un CloudFormation modèle. Les conteneurs sont créés avec EC2 Image Builder et stockés dans Amazon ECR. L'équipe chargée de l'application déploie les modifications apportées au système par le biais AWS CodePipeline de. Ce pipeline est réservé à l'équipe chargée de l'application. Lorsque l'équipe chargée de l'application effectue une pull request pour le référentiel de code, la [règle des deux personnes](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html) est utilisée.
Pour cette charge de travail, l'équipe chargée des applications prend les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.
*Contrôle des applications*
+ L'équipe chargée de l'application permet de [numériser des images de conteneurs Amazon ECR dans Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html).
+ L'équipe chargée de l'application intègre l'outil de sécurité [Fapolicyd (File Access Policy Daemon)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) au pipeline EC2 Image Builder. Pour plus d'informations, voir [Implémentation du contrôle des applications](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) sur le site Web de l'ACSC.
+ L'équipe chargée de l'application configure la définition de tâche Amazon ECS pour consigner les résultats dans Amazon CloudWatch Logs.
+ L'équipe chargée de l'application met en œuvre des mécanismes pour inspecter et gérer les résultats d'Amazon Inspector.
*Applications de correctifs*
+ L'équipe chargée de l'application permet de scanner les images des conteneurs Amazon ECR dans Amazon Inspector et de configurer les alertes pour les bibliothèques obsolètes ou vulnérables.
+ L'équipe chargée de l'application automatise ses réponses aux résultats d'Amazon Inspector. Les nouvelles découvertes initient leur pipeline de déploiement via un EventBridge déclencheur Amazon, et CodePipeline constituent la cible.
+ L'équipe d'application permet AWS Config de suivre les AWS ressources pour la découverte des actifs.
*Restreindre les privilèges administratifs*
+ L'équipe chargée des applications restreint déjà l'accès aux déploiements de production par le biais d'une règle d'approbation sur son pipeline de déploiement.
+ L'équipe chargée des applications s'appuie sur la fédération d'identité de l'équipe cloud centralisée pour la rotation des informations d'identification et la journalisation centralisée.
+ L'équipe chargée de l'application crée une CloudTrail trace et des CloudWatch filtres.
+ L'équipe chargée de l'application configure les alertes Amazon SNS pour les CodePipeline déploiements et CloudFormation les suppressions de piles.
*Corrigez les systèmes d'exploitation*
+ L'équipe chargée de l'application permet de scanner les images des conteneurs Amazon ECR dans Amazon Inspector et de configurer les alertes pour les mises à jour des correctifs du système d'exploitation.
+ L'équipe chargée de l'application automatise sa réponse aux résultats d'Amazon Inspector. Les nouvelles découvertes initient leur pipeline de déploiement par le biais d'un EventBridge déclencheur et CodePipeline constituent la cible.
+ L'équipe chargée de l'application s'abonne aux notifications d'événements Amazon RDS afin d'être informée des mises à jour. Ils prennent une décision basée sur les risques avec le propriétaire de leur entreprise quant à savoir s'ils doivent appliquer ces mises à jour manuellement ou laisser Amazon RDS les appliquer automatiquement.
+ L'équipe chargée de l'application configure l'instance Amazon RDS en tant que cluster de zones de disponibilité multiples afin de réduire l'impact des événements de maintenance.
*Authentification multifacteur*
+ L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la [Architecture de base](scenario.md#core-architecture) section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.
*Sauvegardes régulières*
+ L'équipe chargée de l'application configure AWS Backup pour automatiser la sauvegarde des données de son cluster Amazon RDS.
+ L'équipe chargée de l'application stocke les CloudFormation modèles dans un référentiel de code.
+ L'équipe chargée de l'application développe un pipeline automatisé pour [créer une copie de sa charge de travail dans une autre région et exécuter des tests automatisés](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) (article de AWS blog). Une fois les tests automatisés exécutés, le pipeline détruit la pile. Ce pipeline s'exécute automatiquement une fois par mois et valide l'efficacité des procédures de récupération.
# Exemple de charge de travail : logiciel COTS sur Amazon EC2
Cette charge de travail en est un exemple[Thème 3 : Gérer une infrastructure mutable grâce à l'automatisation](theme-3.md).
La charge de travail exécutée sur Amazon EC2 a été créée manuellement à l'aide du. AWS Management Console Les développeurs mettent à jour le système manuellement en se connectant aux instances EC2 et en mettant à jour le logiciel.
Pour cette charge de travail, les équipes du cloud et des applications prennent les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.
*Contrôle des applications*
+ L'équipe cloud configure son pipeline d'AMI centralisé pour installer et configurer l' AWS Systems Manager agent (agent SSM), CloudWatch l'agent et. SELinux Ils partagent l'AMI qui en résulte sur tous les comptes de l'organisation.
+ L'équipe cloud utilise des AWS Config règles pour confirmer que toutes les [instances EC2 en cours d'exécution sont gérées par Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) et que l'agent [SSM, l'agent et CloudWatch SELinux l'agent sont installés](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html).
+ L'équipe du cloud envoie CloudWatch les résultats d'Amazon Logs à une solution centralisée de gestion des informations et des événements de sécurité (SIEM) qui s'exécute sur Amazon OpenSearch Service.
+ L'équipe chargée de l'application met en œuvre des mécanismes afin d'inspecter et de gérer les résultats provenant d' AWS Config Amazon Inspector et d'Amazon Inspector. GuardDuty L'équipe du cloud met en œuvre ses propres mécanismes pour détecter les résultats manqués par l'équipe chargée de l'application. Pour plus d'informations sur la création d'un programme de gestion des vulnérabilités adapté aux résultats, voir [Création d'un programme de gestion des vulnérabilités évolutif sur AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html).
*Applications de correctifs*
+ L'équipe chargée de l'application corrige les instances en fonction des résultats d'Amazon Inspector.
+ L'équipe du cloud applique des correctifs à l'AMI de base et l'équipe chargée de l'application reçoit une alerte lorsque cette AMI change.
+ L'équipe chargée de l'application restreint l'accès direct à ses instances EC2 en configurant des [règles de groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) afin d'autoriser le trafic uniquement sur les ports requis par la charge de travail.
+ L'équipe chargée de l'application utilise le [gestionnaire](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) de correctifs pour appliquer des correctifs aux instances au lieu de se connecter à des instances individuelles.
+ Pour exécuter des commandes arbitraires sur des groupes d'instances EC2, l'équipe de l'application utilise [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html).
+ Dans les rares cas où l'équipe chargée de l'application a besoin d'un accès direct à une instance, elle utilise le [gestionnaire de session](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html). Cette approche d'accès utilise des identités fédérées et enregistre toute activité de session à des fins d'audit.
*Restreindre les privilèges administratifs*
+ L'équipe chargée de l'application configure les [règles du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) pour autoriser le trafic uniquement sur les ports requis par la charge de travail. Cela restreint l'accès direct aux instances Amazon EC2 et oblige les utilisateurs à accéder aux instances EC2 via le gestionnaire de session.
+ L'équipe chargée des applications s'appuie sur la fédération d'identité de l'équipe cloud centralisée pour la rotation des informations d'identification et la journalisation centralisée.
+ L'équipe chargée de l'application crée une CloudTrail trace et des CloudWatch filtres.
+ L'équipe chargée de l'application configure les alertes Amazon SNS pour les CodePipeline déploiements et CloudFormation les suppressions de piles.
*Corrigez les systèmes d'exploitation*
+ L'équipe du cloud applique des correctifs à l'AMI de base et l'équipe chargée de l'application reçoit une alerte lorsque cette AMI change. L'équipe chargée de l'application déploie de nouvelles instances à l'aide de cette AMI, puis utilise [State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), une fonctionnalité de Systems Manager, pour installer le logiciel requis.
+ L'équipe chargée de l'application utilise le gestionnaire de correctifs pour appliquer des correctifs aux instances, par exemple pour se connecter à des instances individuelles.
+ Pour exécuter des commandes arbitraires sur des groupes d'instances EC2, l'équipe de l'application utilise Run Command.
+ Dans les rares cas où l'équipe chargée de l'application a besoin d'un accès direct, elle utilise le gestionnaire de session.
*Authentification multifacteur*
+ L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la [Architecture de base](scenario.md#core-architecture) section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.
*Sauvegardes régulières*
+ L'équipe chargée de l'application crée un AWS Backup plan pour ses instances EC2 et ses volumes Amazon Elastic Block Store (Amazon EBS).
+ L'équipe chargée de l'application met en œuvre un mécanisme permettant d'effectuer une restauration de sauvegarde manuellement chaque mois.