Bases de la sécurité - AWS Conseils prescriptifs
Capacités de sécuritéPrincipes de conception de la sécuritéComment utiliser le AWS SRA avec AWS CAF et Well-Architected Framework AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bases de la sécurité

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Le AWS SRA repose sur trois piliers de AWS sécurité : le AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected et le Shared Responsibility Model. AWS

AWS Les services professionnels ont créé la AWS CAF pour aider les entreprises à concevoir et à suivre une voie accélérée vers une adoption réussie du cloud. Les conseils et les meilleures pratiques fournis par le framework vous aident à élaborer une approche globale du cloud computing au sein de votre entreprise et tout au long de votre cycle de vie informatique. La AWS CAF organise l'orientation en six domaines d'intérêt, appelés perspectives. Chaque point de vue couvre des responsabilités distinctes détenues ou gérées par des parties prenantes liées sur le plan fonctionnel. En général, les perspectives commerciales, humaines et de gouvernance se concentrent sur les capacités commerciales, tandis que les perspectives liées à la plate-forme, à la sécurité et aux opérations se concentrent sur les capacités techniques.

La perspective de sécurité de la AWS CAF vous aide à structurer la sélection et la mise en œuvre des contrôles dans l'ensemble de votre entreprise. Le respect AWS des recommandations actuelles du pilier de sécurité peut vous aider à répondre à vos exigences commerciales et réglementaires.

AWS Well-Architected aide les architectes du cloud à créer une infrastructure sécurisée, performante, résiliente et efficace pour leurs applications et leurs charges de travail. Le cadre repose sur six piliers (excellence opérationnelle, sécurité, fiabilité, efficacité des performances, optimisation des coûts et durabilité) et fournit une approche cohérente permettant aux AWS clients et aux partenaires d'évaluer les architectures et de mettre en œuvre des conceptions évolutives dans le temps. Nous pensons que le fait d’avoir des charges de travail bien structurées augmente considérablement les chances de réussite métier.

Le pilier de sécurité Well-Architected Framework décrit comment tirer parti des technologies cloud pour protéger les données, les systèmes et les actifs de manière à améliorer votre posture de sécurité. Cela vous aidera à répondre à vos exigences commerciales et réglementaires en suivant les AWS recommandations actuelles. Il existe d'autres domaines d'intérêt du Well-Architected Framework qui fournissent plus de contexte pour des domaines spécifiques tels que la gouvernance, le sans serveur, l'IA/ML et les jeux vidéo. Ces lentilles sont connues sous le nom de AWS lentilles Well-Architected.

La sécurité et la conformité sont une responsabilité partagée entre le client AWS et le client. Ce modèle partagé peut vous aider à alléger votre charge opérationnelle en AWS exploitant, en gérant et en contrôlant les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles le service fonctionne. Par exemple, vous assumez la responsabilité et la gestion du système d'exploitation client (y compris les mises à jour et les correctifs de sécurité), du logiciel d'application, du chiffrement des données côté serveur, des tables de routage du trafic réseau et de la configuration du pare-feu du groupe de sécurité AWS fourni. Pour les services abstraits tels qu'Amazon S3 et Amazon AWS DynamoDB, il gère la couche d'infrastructure, le système d'exploitation et les plateformes, et vous accédez aux points de terminaison pour stocker et récupérer des données. Vous êtes responsable de la gestion de vos données (y compris les options de chiffrement), de la classification de vos actifs et de l'utilisation des outils IAM pour appliquer les autorisations appropriées. Ce modèle partagé est souvent décrit en disant qu'il AWS est responsable de la sécurité du cloud (c'est-à-dire de la protection de l'infrastructure qui exécute tous les services proposés dans le AWS Cloud), et que vous êtes responsable de la sécurité dans le cloud (telle que déterminée par les AWS Cloud services que vous sélectionnez).

Dans le cadre des directives fournies par ces documents fondamentaux, deux ensembles de concepts sont particulièrement pertinents pour la conception et la compréhension de la AWS SRA : les capacités de sécurité et les principes de conception de sécurité.

Capacités de sécurité

Le point de vue de la sécurité de la AWS CAF décrit neuf fonctionnalités qui vous aident à garantir la confidentialité, l'intégrité et la disponibilité de vos données et de vos charges de travail dans le cloud.

  • Gouvernance de la sécurité pour développer et communiquer les rôles, les responsabilités, les politiques, les processus et les procédures de sécurité dans l' AWS environnement de votre entreprise.

  • Assurance de sécurité pour surveiller, évaluer, gérer et améliorer l'efficacité de vos programmes de sécurité et de confidentialité.

  • Gestion des identités et des accès pour gérer les identités et les autorisations à grande échelle.

  • Détection des menaces pour comprendre et identifier les erreurs de configuration, les menaces ou les comportements inattendus potentiels en matière de sécurité.

  • Gestion des vulnérabilités pour identifier, classer, corriger et atténuer en permanence les vulnérabilités de sécurité.

  • Protection de l'infrastructure pour vérifier que les systèmes et les services de vos charges de travail sont protégés.

  • Protection des données pour maintenir la visibilité et le contrôle des données, ainsi que de la manière dont elles sont consultées et utilisées dans votre organisation.

  • Sécurité des applications pour aider à détecter et à corriger les failles de sécurité au cours du processus de développement logiciel.

  • Réponse aux incidents pour réduire les dommages potentiels en répondant efficacement aux incidents de sécurité.

Principes de conception de la sécurité

Le pilier de sécurité du Well-Architected Framework comprend un ensemble de sept principes de conception qui transforment des domaines de sécurité spécifiques en conseils pratiques pouvant vous aider à renforcer la sécurité de votre charge de travail. Lorsque les capacités de sécurité encadrent la stratégie de sécurité globale, ces principes de Well-Architected Framework décrivent ce que vous pouvez commencer à faire. Ils sont reflétés de manière très délibérée dans cette AWS SRA et se composent des éléments suivants :

  • Mettez en place une base d'identité solide ‒ Mettez en œuvre le principe du moindre privilège et appliquez la séparation des tâches avec les autorisations appropriées pour chaque interaction avec vos AWS ressources. Centralisez la gestion des identités et visez l’élimination de la dépendance aux informations d’identification statiques de longue durée.

  • Activez la traçabilité ‒ Surveillez, générez des alertes et auditez les actions et les modifications apportées à votre environnement en temps réel. Intégrez la collecte des journaux et des métriques aux systèmes pour effectuer des analyses et prendre des mesures automatiquement.

  • Appliquer la sécurité à tous les niveaux ‒ Appliquez une defense-in-depth approche comportant plusieurs contrôles de sécurité. Appliquez plusieurs types de contrôles (par exemple, des contrôles préventifs et de détection) à toutes les couches, y compris la périphérie du réseau, le cloud privé virtuel (VPC), l'équilibrage de charge, les services d'instance et de calcul, le système d'exploitation, la configuration des applications et le code.

  • Automatisez les meilleures pratiques de sécurité ‒ Les mécanismes de sécurité automatisés basés sur des logiciels améliorent votre capacité à évoluer en toute sécurité, plus rapidement et à moindre coût. Créez des architectures sécurisées et implémentez des contrôles définis et gérés sous forme de code dans des modèles contrôlés par version.

  • Protégez les données en transit et au repos ‒ Classez vos données selon les niveaux de sensibilité et utilisez des mécanismes tels que le chiffrement, la tokenisation et le contrôle d'accès, le cas échéant.

  • Éloignez les personnes des données ‒ Utilisez des mécanismes et des outils pour réduire ou éliminer le besoin d'accéder directement aux données ou de les traiter manuellement. Cette approche permet de réduire les risques de mauvaise manipulation ou de modification ainsi que les erreurs humaines lors d’interventions sur des données sensibles.

  • Préparation aux événements de sécurité ‒ Préparez-vous à un incident grâce à une politique et à des processus d'investigation et de gestion des incidents conformes aux exigences de votre organisation. Exécutez des simulations de réponse aux incidents et utilisez des outils d’automatisation pour améliorer votre vitesse de détection, d’investigation et de récupération.

Comment utiliser le AWS SRA avec AWS CAF et Well-Architected Framework AWS

Le AWS CAF, AWS Well-Architected Framework AWS et le SRA sont des frameworks complémentaires qui fonctionnent ensemble pour soutenir vos efforts de migration et de modernisation vers le cloud.

  • La AWS CAF s'appuie sur AWS l'expérience et les meilleures pratiques pour vous aider à aligner les valeurs de l'adoption du cloud sur les résultats commerciaux souhaités. Utilisez la AWS CAF pour identifier et hiérarchiser les opportunités de transformation, évaluer et améliorer la préparation au cloud et faire évoluer de manière itérative votre feuille de route de transformation.

  • Le AWS Well-Architected Framework AWS fournit des recommandations pour créer une infrastructure sécurisée, performante, résiliente et efficace pour une variété d'applications et de charges de travail répondant aux objectifs de votre entreprise. 

  • Le AWS SRA vous aide à comprendre comment déployer et gérer les services de sécurité conformément aux recommandations de la AWS CAF et du Well-Architected Framework. AWS  

Par exemple, le point de vue de la sécurité de la AWS CAF suggère que vous évaluiez comment gérer de manière centralisée les identités de vos employés et leur authentification dans AWS. Sur la base de ces informations, vous pouvez décider d'utiliser une solution de fournisseur d'identité d'entreprise (IdP) nouvelle ou existante telle qu'Okta, Active Directory ou Ping Identity à cette fin. Vous suivez les instructions du AWS Well-Architected Framework et décidez d'intégrer votre IdP au afin d'offrir à vos employés une expérience d' AWS IAM Identity Center authentification unique capable de synchroniser leurs adhésions à des groupes et leurs autorisations. Vous passez en revue la recommandation de la AWS SRA visant à activer IAM Identity Center dans le compte de gestion de votre AWS organisation et à l'administrer via un compte d'outils de sécurité utilisé par votre équipe des opérations de sécurité. Cet exemple montre comment la AWS CAF vous aide à prendre des décisions initiales concernant la posture de sécurité que vous souhaitez adopter, le AWS Well-Architected Framework fournit des conseils sur la manière d'évaluer Services AWS les capacités disponibles pour atteindre cet objectif, et la SRA fournit ensuite des recommandations sur AWS la manière de déployer et de gérer les services de sécurité que vous sélectionnez.