Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Security OU — Compte Security Tooling

Le schéma suivant illustre les services AWS de sécurité configurés dans le compte Security Tooling.

Le compte Security Tooling est dédié à l'exploitation des services de sécurité, à la surveillance Comptes AWS et à l'automatisation des alertes et réponses de sécurité. Les objectifs de sécurité sont notamment les suivants :

Administrateur délégué pour les services de sécurité

Le compte Security Tooling sert de compte administrateur pour les services de sécurité gérés dans une administrator/member structure intégrée à l'ensemble du Comptes AWS. Comme indiqué précédemment, cela est géré par le biais de la fonctionnalité d'administrateur AWS Organizations délégué. Les services de la AWS SRA qui prennent actuellement en charge l'administrateur délégué incluent la gestion centralisée IAM de l'accès root, AWS Config,, AWS Firewall Manager Amazon GuardDuty, IAM Access Analyzer, Amazon Macie,, AWS Security Hub, Amazon Detective, AWS Security Hub CSPM AWS Audit Manager Amazon Inspector et. AWS CloudTrail AWS Systems Manager Votre équipe de sécurité gère les fonctionnalités de sécurité de ces services et surveille tous les événements ou découvertes spécifiques à la sécurité.

AWS IAM Identity Center prend en charge l'administration déléguée d'un compte membre. AWS SRA utilise le compte Shared Services comme compte d'administrateur délégué pour IAM Identity Center, comme expliqué plus loin dans la section IAM Identity Center du compte Shared Services.

Accès root centralisé

Le compte Security Tooling est le compte d'administrateur délégué pour la gestion centralisée IAM de la capacité d'accès root. Cette fonctionnalité doit être activée au niveau de l'organisation en activant la gestion des informations d'identification et l'action root privilégiée dans les comptes des membres. Les administrateurs délégués doivent disposer d'sts:AssumeRootautorisations explicites pour pouvoir effectuer des actions root privilégiées au nom des comptes membres. Cette autorisation n'est disponible qu'une fois que l'action root privilégiée sur un compte membre est activée dans le compte de gestion de l'organisation ou dans le compte d'administrateur délégué. Avec cette autorisation, les utilisateurs peuvent effectuer des tâches d'utilisateur root privilégié sur les comptes membres, de manière centralisée depuis le compte Security Tooling. Après avoir lancé une session privilégiée, vous pouvez supprimer une politique de compartiment S3 mal configurée, supprimer une politique de file d'attente SQS mal configurée, supprimer les informations d'identification de l'utilisateur root pour un compte membre et réactiver les informations d'identification de l'utilisateur root pour un compte membre. Vous pouvez effectuer ces actions depuis la console, en utilisant le AWS Command Line Interface (AWS CLI) ou via APIs.

AWS CloudTrail

AWS CloudTrailest un service qui prend en charge la gouvernance, la conformité et l'audit des activités de votre entreprise Compte AWS. Vous pouvez ainsi enregistrer, surveiller en permanence et conserver l'activité du compte liée aux actions menées au sein de votre AWS infrastructure. CloudTrail CloudTrail est intégré à AWS Organizations, et cette intégration peut être utilisée pour créer un suivi unique qui enregistre tous les événements pour tous les comptes de l' AWS organisation. Cet élément est appelé journal de suivi d'une organisation. Vous pouvez créer et gérer un journal d'organisation uniquement depuis le compte de gestion de l'organisation ou depuis un compte d'administrateur délégué. Lorsque vous créez un journal d'organisation, un suivi portant le nom que vous spécifiez est créé dans chaque Compte AWS journal appartenant à votre AWS organisation. Le journal enregistre l'activité de tous les comptes, y compris le compte de gestion, de l' AWS organisation et stocke les journaux dans un seul compartiment S3. En raison de la sensibilité de ce compartiment S3, vous devez le sécuriser en suivant les meilleures pratiques décrites dans la section Amazon S3 en tant que magasin de journaux central plus loin dans ce guide. Tous les comptes de l' AWS organisation peuvent voir le parcours de l'organisation dans leur liste de sentiers. Toutefois, les membres Comptes AWS ont un accès en lecture seule à cette randonnée. Par défaut, lorsque vous créez un parcours d'organisation dans la CloudTrail console, il s'agit d'un parcours multirégional. Pour plus d'informations sur les meilleures pratiques en matière de sécurité, consultez la CloudTraildocumentation.

Dans le AWS SRA, le compte Security Tooling est le compte d'administrateur délégué pour la gestion. CloudTrail Le compartiment S3 correspondant pour stocker les journaux de suivi de l'organisation est créé dans le compte Log Archive. Il s'agit de séparer la gestion et l'utilisation des privilèges de CloudTrail journalisation. Pour plus d'informations sur la création ou la mise à jour d'un compartiment S3 pour stocker les fichiers journaux d'un journal d'entreprise, consultez la CloudTrail documentation. En matière de sécurité, il est recommandé d'ajouter la clé de aws:SourceArn condition du journal de l'organisation à la politique de ressources du compartiment S3 (et à toute autre ressource telle que les clés KMS ou les rubriques SNS). Cela garantit que le compartiment S3 accepte uniquement les données associées au parcours spécifique. Le journal est configuré avec la validation du fichier journal pour la validation de l'intégrité du fichier journal. Les fichiers log et digest sont chiffrés à l'aide de SSE-KMS. Le journal de l'organisation est également intégré à un groupe de CloudWatch journaux dans Logs pour envoyer des événements à conserver à long terme.

AWS Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM), anciennement connu sous le nom de Cloud Security Posture Management () AWS Security Hub, vous fournit une vue complète de votre posture de sécurité AWS et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub CSPM collecte des données de sécurité provenant de services AWS intégrés, de produits tiers pris en charge et d'autres produits de sécurité personnalisés que vous pourriez utiliser. Il vous aide à surveiller et à analyser en permanence les tendances en matière de sécurité et à identifier les problèmes de sécurité prioritaires. Outre les sources ingérées, Security Hub CSPM génère ses propres résultats, qui sont représentés par des contrôles de sécurité correspondant à une ou plusieurs normes de sécurité. Ces normes incluent les meilleures pratiques de sécurité AWS fondamentales (FSBP), le Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 et v1.4.0, le National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS) et les normes de gestion des services. Pour obtenir une liste des normes de sécurité actuelles et des informations sur les contrôles de sécurité spécifiques, consultez la référence aux normes pour Security Hub CSPM dans la documentation de Security Hub CSPM.

Security Hub CSPM s'intègre AWS Organizations pour simplifier la gestion du niveau de sécurité de tous les comptes existants et futurs de votre AWS organisation. Vous pouvez utiliser la fonctionnalité de configuration centrale du Security Hub CSPM depuis le compte administrateur délégué (dans ce cas, Security Tooling) pour spécifier comment le service Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sont configurés dans les comptes et les unités organisationnelles () de votre organisation dans toutes les régions. OUs  Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée région d'origine. Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. L'administrateur délégué peut désigner des OUs comptes autogérés, où le membre peut configurer les paramètres séparément dans chaque région, ou des comptes gérés de manière centralisée, où l'administrateur délégué peut configurer le compte du membre ou l'unité d'organisation dans toutes les régions. Vous pouvez désigner tous les OUs comptes de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux. Cela simplifie l'application d'une configuration cohérente tout en offrant la flexibilité de la modifier pour chaque unité d'organisation et chaque compte. 

Le compte administrateur délégué du Security Hub CSPM peut également consulter les résultats, consulter les informations et contrôler les détails de tous les comptes membres. Vous pouvez également désigner une région d'agrégation au sein du compte administrateur délégué afin de centraliser vos résultats entre vos comptes et les régions associées. Vos résultats sont synchronisés de manière continue et bidirectionnelle entre la région agrégatrice et toutes les autres régions.

Security Hub CSPM prend en charge les intégrations avec plusieurs. Services AWS Amazon GuardDuty AWS Config, Amazon Macie, IAM Access Analyzer, Amazon AWS Firewall Manager Inspector, Amazon Route 53 Resolver DNS Firewall et AWS Systems Manager Patch Manager peuvent transmettre les résultats à Security Hub CSPM. Security Hub CSPM traite les résultats en utilisant un format standard appelé AWS Security Finding Format (ASFF). Security Hub CSPM met en corrélation les résultats des produits intégrés afin de prioriser les plus importants. Vous pouvez enrichir les métadonnées des résultats du Security Hub CSPM afin de mieux les contextualiser, de les hiérarchiser et de prendre les mesures nécessaires en fonction des résultats de sécurité. Cet enrichissement ajoute des balises de ressource, une nouvelle balise d' AWS application et des informations de nom de compte à chaque découverte ingérée dans Security Hub CSPM. Cela vous permet d'affiner les résultats pour les règles d'automatisation, de rechercher ou de filtrer les résultats et les informations, et d'évaluer l'état du niveau de sécurité par application. En outre, vous pouvez utiliser des règles d'automatisation pour mettre à jour automatiquement les résultats. Lorsque Security Hub CSPM ingère des résultats, il peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes aux résultats. Ces actions de règle prennent effet lorsque les résultats correspondent aux critères que vous avez spécifiés, tels que la ressource ou IDs le compte auquel le résultat est associé, ou son titre. Vous pouvez utiliser des règles d'automatisation pour mettre à jour certains champs de recherche dans l'ASFF. Les règles s'appliquent à la fois aux nouvelles découvertes et aux mises à jour.

Au cours de l'enquête sur un événement de sécurité, vous pouvez accéder de Security Hub CSPM à Amazon Detective pour rechercher un GuardDuty résultat. Security Hub CSPM recommande d'aligner les comptes d'administrateur délégué pour des services tels que Detective (lorsqu'ils existent) pour une intégration plus fluide. Par exemple, si vous n'alignez pas les comptes d'administrateur entre Detective et Security Hub CSPM, la navigation entre les résultats et Detective ne fonctionnera pas. Pour obtenir une liste complète, consultez la section Présentation des Service AWS intégrations avec Security Hub CSPM dans la documentation de Security Hub CSPM.

Vous pouvez utiliser Security Hub CSPM avec la fonctionnalité Network Access Analyzer d'Amazon VPC pour surveiller en permanence la conformité de votre configuration réseau. AWS Cela vous aidera à bloquer les accès indésirables au réseau et à empêcher l'accès externe à vos ressources critiques. Pour plus de détails sur l'architecture et la mise en œuvre, consultez le billet de AWS blog Vérification continue de la conformité du réseau à l'aide d'Amazon VPC Network Access Analyzer et. AWS Security Hub CSPM

Outre ses fonctionnalités de surveillance, Security Hub CSPM prend en charge l'intégration avec Amazon EventBridge afin d'automatiser la correction de résultats spécifiques. Vous pouvez définir des actions personnalisées à effectuer lors de la réception d'un résultat. Vous pouvez, par exemple, configurer des actions personnalisées, pour envoyer des conclusions à un système de tickets ou à un système de correction automatique. Pour des discussions et des exemples supplémentaires, consultez les articles de AWS blog Réponse et correction automatisées avec AWS Security Hub CSPM et Comment déployer la AWS solution pour la réponse et la correction automatisées de Security Hub CSPM.

Security Hub CSPM utilise des liens de service AWS Config Rules pour effectuer la plupart de ses contrôles de sécurité. Pour prendre en charge ces contrôles, AWS Config ils doivent être activés sur tous les comptes, y compris le compte administrateur (ou administrateur délégué) et les comptes membres, dans chacun des comptes où le Security Région AWS Hub CSPM est activé.

AWS Security Hub

AWS Security Hubest une solution de sécurité cloud unifiée qui hiérarchise vos menaces de sécurité critiques et vous aide à y répondre à grande échelle. Security Hub détecte les problèmes de sécurité en temps quasi réel en corrélant et en enrichissant automatiquement les signaux de sécurité provenant de sources multiples, telles que la gestion de la posture (AWS Security Hub CSPM), la gestion des vulnérabilités (Amazon Inspector), les données sensibles (Amazon Macie) et la détection des menaces (Amazon). GuardDuty Cela permet aux équipes de sécurité de hiérarchiser les risques actifs dans leurs environnements cloud grâce à des analyses automatisées et à des informations contextuelles. Security Hub fournit une représentation visuelle de la trajectoire d'attaque potentielle que les attaquants peuvent exploiter pour accéder aux ressources associées à une découverte d'exposition. Cela transforme les signaux de sécurité complexes en informations exploitables, afin que vous puissiez prendre rapidement des décisions éclairées concernant votre sécurité.

Security Hub a été repensé de manière stratégique afin de simplifier l'activation des éléments de base des services de sécurité associés afin d'obtenir des résultats en matière de sécurité. En corrélant les résultats de sécurité dans une matrice de menaces entre différents signaux de sécurité en temps quasi réel, vous pouvez d'abord hiérarchiser les risques les plus critiques. Les résultats sont corrélés afin de détecter l'exposition associée aux AWS ressources. Les expositions représentent des faiblesses plus générales en matière de contrôles de sécurité, de mauvaises configurations ou d'autres domaines susceptibles d'être exploités par des menaces actives. Par exemple, une exposition peut être une EC2 instance accessible depuis Internet et présentant des vulnérabilités logicielles présentant une forte probabilité d'exploitation.

Security Hub et Security Hub CSPM sont des services complémentaires. Security Hub CSPM fournit une vue complète de votre niveau de sécurité et vous aide à évaluer votre environnement cloud par rapport aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub fournit une expérience unifiée qui vous aide à hiérarchiser les problèmes de sécurité critiques et à y répondre. Les résultats du Security Hub CSPM sont automatiquement acheminés vers Security Hub, où ils sont corrélés aux résultats d'autres services de sécurité, tels qu'Amazon Inspector, afin de générer des risques. Cela vous permet d'identifier les risques les plus critiques de votre environnement. 

Security Hub fournit également un résumé des ressources de votre AWS environnement par type et les résultats associés. Les ressources sont hiérarchisées en fonction des expositions et des séquences d'attaque. Lorsque vous choisissez un type de ressource, vous pouvez consulter toutes les ressources associées à ce type de ressource.

Pour une expérience optimale, nous vous recommandons d'activer Security Hub et Security Hub CSPM, ainsi que les autres services de sécurité suivants : Amazon GuardDuty, Amazon Inspector et Amazon Macie. Vous pouvez savoir si ces services et fonctionnalités sont activés de manière uniforme sur tous les comptes membres de votre organisation en utilisant les résultats de Security Hub Coverage.

Dans le AWS SRA, le compte Security Tooling agit en tant qu'administrateur délégué pour Security Hub, Security Hub CSPM et d'autres services de sécurité. AWS Dans le compte Security Tooling, vous pouvez consulter toutes les ressources associées aux comptes des membres. Vous pouvez également consulter toutes les ressources de votre maison Région AWS à partir de liens Régions AWS.

Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger votre charge de travail Comptes AWS et celle de vos charges de travail. Vous devez toujours capturer et stocker les journaux appropriés à des fins de surveillance et d'audit, mais vous devez GuardDuty extraire des flux de données indépendants directement à partir AWS CloudTrail des journaux de flux Amazon VPC et des journaux AWS DNS. Vous n'avez pas à gérer les politiques relatives aux compartiments Amazon S3 ni à modifier la façon dont vous collectez et stockez vos journaux. GuardDutyles autorisations sont gérées comme des rôles liés à un service que vous pouvez révoquer à tout moment en les désactivant. GuardDuty Cela facilite l'activation du service sans configuration complexe et élimine le risque qu'une modification des autorisations IAM ou une modification de la politique du compartiment S3 affecte le fonctionnement du service.

En plus de fournir des sources de données de base, GuardDuty fournit des fonctionnalités facultatives pour identifier les résultats de sécurité. Il s'agit notamment de la protection EKS, de la protection RDS, de la protection S3, de la protection contre les logiciels malveillants et de la protection Lambda. Pour les nouveaux détecteurs, ces fonctionnalités optionnelles sont activées par défaut, à l'exception de la protection EKS, qui doit être activée manuellement.

GuardDuty fournit également une fonctionnalité connue sous le nom de détection étendue des menaces qui détecte automatiquement les attaques en plusieurs étapes qui couvrent des sources de données, plusieurs types de AWS ressources et le temps passé au cours d'un Compte AWS. GuardDutymet en corrélation ces événements, appelés signaux, afin d'identifier les scénarios qui se présentent comme des menaces potentielles pour votre AWS environnement, puis génère une recherche de séquence d'attaque. Cela couvre les scénarios de menace impliquant une compromission liée à une utilisation abusive des AWS informations d'identification et des tentatives de compromission des données dans votre entreprise Comptes AWS. GuardDuty considère tous les types de recherche de séquences d'attaque comme critiques. Cette fonctionnalité est activée par défaut et aucun coût supplémentaire n'y est associé.

Dans le AWS SRA, GuardDuty il est activé dans tous les comptes via le compte administrateur GuardDuty délégué (dans ce cas AWS Organizations, le compte Security Tooling), et toutes les conclusions sont consultables et exploitables par les équipes de sécurité appropriées. GuardDuty les résultats actifs sont exportés vers un compartiment S3 central dans le compte Log Archive, afin que vous puissiez conserver les résultats au-delà de 90 jours. Les résultats sont exportés depuis le compte d'administrateur délégué et incluent également tous les résultats des comptes de membres associés dans la même région. Les résultats contenus dans le compartiment S3 sont chiffrés à l'aide d'une clé gérée par le AWS KMS client. La politique du compartiment S3 et la politique des clés KMS sont configurées GuardDuty pour autoriser uniquement l'utilisation des ressources.

Lorsque cette option AWS Security Hub CSPM est activée, GuardDuty les résultats sont automatiquement transmis à Security Hub CSPM et Security Hub. Lorsque Amazon Detective est activé, GuardDuty les résultats sont inclus dans le processus d'ingestion du journal Detective. GuardDuty et Detective prennent en charge les flux de travail utilisateur multiservices, où GuardDuty vous trouverez des liens depuis la console qui vous redirigent depuis une découverte sélectionnée vers une page Detective contenant un ensemble de visualisations sélectionnées pour étudier cette constatation. Par exemple, vous pouvez également intégrer GuardDuty Amazon EventBridge pour automatiser les meilleures pratiques GuardDuty, telles que l'automatisation des réponses aux nouvelles GuardDuty découvertes.

AWS Config

AWS Configest un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations des AWS ressources prises en charge dans votre Comptes AWS. AWS Config surveille et enregistre en permanence les configurations AWS des ressources, et évalue automatiquement les configurations enregistrées par rapport aux configurations souhaitées. Vous pouvez également intégrer AWS Config d'autres services pour effectuer le gros du travail dans les pipelines d'audit et de surveillance automatisés. Par exemple, AWS Config peut surveiller les modifications apportées à des secrets individuels dans AWS Secrets Manager.

Vous pouvez évaluer les paramètres de configuration de vos AWS ressources en utilisant AWS Config Rules. AWS Config fournit une bibliothèque de règles prédéfinies personnalisables appelées règles gérées, ou vous pouvez écrire vos propres règles personnalisées. Vous pouvez exécuter AWS Config Rules en mode proactif (avant le déploiement des ressources) ou en mode détective (après le déploiement des ressources). Les ressources peuvent être évaluées lors de changements de configuration, selon un calendrier périodique, ou les deux. 

Un pack de conformité est un ensemble de AWS Config règles et d'actions correctives qui peuvent être déployées en tant qu'entité unique dans un compte et une région, ou au sein d'une organisation dans. AWS Organizations Les packs de conformité sont créés en créant un modèle YAML qui contient la liste des règles AWS Config gérées ou personnalisées et des actions correctives. Pour commencer à évaluer votre AWS environnement, utilisez l'un des exemples de modèles de pack de conformité.

AWS Config s'intègre AWS Security Hub CSPM à Security Hub CSPM pour envoyer les résultats des évaluations de règles AWS Config gérées et personnalisées sous forme de conclusions.

AWS Config Rules peut être utilisé conjointement avec AWS Systems Manager pour remédier efficacement aux ressources non conformes. Vous utilisez Systems Manager Explorer pour recueillir l'état de conformité des AWS Config règles de votre Comptes AWS cross, Régions AWS puis vous utilisez les documents d'automatisation de Systems Manager (runbooks) pour résoudre vos règles non conformes AWS Config . Pour plus de détails sur la mise en œuvre, consultez le billet de blog Corriger les AWS Config règles non conformes avec les runbooks AWS Systems Manager d'automatisation.

L' AWS Config agrégateur collecte les données de configuration et de conformité sur plusieurs comptes, régions et organisations au sein AWS Organizations de. Le tableau de bord de l'agrégateur affiche les données de configuration des ressources agrégées. Les tableaux de bord d'inventaire et de conformité fournissent des informations essentielles et actuelles sur la configuration de vos AWS ressources et l'état de conformité au sein d'une AWS organisation Comptes AWS, au sein de Régions AWS celle-ci ou au sein de celle-ci. Ils vous permettent de visualiser et d'évaluer votre inventaire de AWS ressources sans avoir à rédiger de requêtes AWS Config avancées. Vous pouvez obtenir des informations essentielles, telles qu'un résumé de la conformité par ressources, les 10 principaux comptes dont les ressources ne sont pas conformes, une comparaison des instances en cours d'exécution et des EC2 instances arrêtées par type et des volumes EBS par type et taille de volume.

Si vous l'utilisez AWS Control Tower pour gérer votre AWS organisation, celle-ci déploiera un ensemble de AWS Config règles servant de garde-fous (classées comme obligatoires, fortement recommandées ou facultatives). Ces garde-fous vous aident à gérer vos ressources et à contrôler la conformité des comptes de votre AWS organisation. Ces AWS Config règles utiliseront automatiquement une aws-control-tower balise dont la valeur est demanaged-by-control-tower.

AWS Config doit être activé pour chaque compte membre de l' AWS organisation et Région AWS contenant les ressources que vous souhaitez protéger. Vous pouvez gérer de manière centralisée (par exemple, créer, mettre à jour et supprimer) les AWS Config règles de tous les comptes de votre AWS organisation. À partir du compte d'administrateur AWS Config délégué, vous pouvez déployer un ensemble commun de AWS Config règles pour tous les comptes et spécifier les comptes pour lesquels AWS Config les règles ne doivent pas être créées. Le compte d'administrateur AWS Config délégué peut également agréger les données de configuration et de conformité des ressources provenant de tous les comptes membres afin de fournir une vue unique. Utilisez le compte APIs de l'administrateur délégué pour renforcer la gouvernance en vous assurant que les AWS Config règles sous-jacentes ne peuvent pas être modifiées par les comptes des membres de votre AWS organisation. AWS Config est intégré de manière native pour envoyer les résultats AWS Security Hub CSPM, si Security Hub CSPM est activé et qu'au moins une règle personnalisée ou AWS Config gérée existe.

Dans le AWS SRA, le compte d'administrateur AWS Config délégué est le compte Security Tooling. Le canal AWS Config de diffusion est configuré pour fournir des instantanés de configuration des ressources dans un compartiment S3 centralisé du compte Log Archive. Le compte Log Archive étant le magasin central du référentiel de journaux, il est utilisé pour stocker la configuration des ressources.

Amazon Security Lake

Amazon Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant des AWS environnements, des fournisseurs de logiciels en tant que service (SaaS), des sites locaux et de sources tierces. Security Lake vous aide à créer une source de données normalisée qui simplifie l'utilisation des outils d'analyse par rapport aux données de sécurité, afin que vous puissiez mieux comprendre votre posture de sécurité dans l'ensemble de l'entreprise. Le lac de données est soutenu par des compartiments Amazon Simple Storage Service (Amazon S3), et vous restez propriétaire de vos données. Security Lake collecte automatiquement les journaux Services AWS, notamment pour Amazon VPC AWS CloudTrail, Amazon Route 53, Amazon S3, les journaux d'audit, les AWS Security Hub CSPM résultats et AWS WAF les journaux d' AWS Lambda Amazon EKS.

AWS La SRA vous recommande d'utiliser le compte Log Archive comme compte d'administrateur délégué pour Security Lake. Pour plus d'informations sur la configuration du compte administrateur délégué, consultez Amazon Security Lake dans la section Security OU ‒ Compte Log Archive. Les équipes de sécurité qui souhaitent accéder aux données de Security Lake ou qui ont besoin de pouvoir écrire des journaux non natifs dans les compartiments Security Lake à l'aide de fonctions personnalisées d'extraction, de transformation et de chargement (ETL) doivent opérer dans le compte Security Tooling.

Security Lake peut collecter des journaux provenant de différents fournisseurs de cloud, des journaux provenant de solutions tierces ou d'autres journaux personnalisés. Nous vous recommandons d'utiliser le compte Security Tooling pour exécuter les fonctions ETL afin de convertir les journaux au format Open Cybersecurity Schema Framework (OCSF) et de générer un fichier au format Apache Parquet. Security Lake crée le rôle multi-comptes avec les autorisations appropriées pour le compte Security Tooling et la source personnalisée soutenue par des fonctions Lambda ou des robots d' AWS Glue exploration, afin d'écrire des données dans les compartiments S3 pour Security Lake.

L'administrateur de Security Lake doit configurer les équipes de sécurité qui utilisent le compte Security Tooling et qui ont besoin d'accéder aux journaux que Security Lake collecte en tant qu'abonnés. Security Lake prend en charge deux types d'accès pour les abonnés :

Pour plus d'informations sur la création d'abonnés, consultez la section Gestion des abonnés dans la documentation de Security Lake.  

Pour connaître les meilleures pratiques en matière d'ingestion de sources personnalisées, consultez la section Collecte de données à partir de sources personnalisées dans la documentation de Security Lake.

Vous pouvez utiliser Amazon Quick Sight, Amazon OpenSearch Service et Amazon SageMaker pour configurer des analyses par rapport aux données de sécurité que vous stockez dans Security Lake.

Amazon Macie

Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise l'apprentissage automatique et la correspondance de modèles pour découvrir et protéger vos données sensibles dans. AWS Vous devez identifier le type et la classification des données traitées par votre charge de travail afin de garantir l'application des contrôles appropriés. Vous pouvez utiliser Macie pour automatiser la découverte et le reporting des données sensibles de deux manières : en effectuant une découverte automatique des données sensibles et en créant et en exécutant des tâches de découverte de données sensibles. Grâce à la découverte automatique des données sensibles, Macie évalue quotidiennement votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles. Les tâches de découverte de données sensibles permettent une analyse plus approfondie et plus ciblée. Avec cette option, vous définissez l'étendue et la profondeur de l'analyse, y compris les compartiments S3 à analyser, la profondeur d'échantillonnage et les critères personnalisés dérivés des propriétés des objets S3. Si Macie détecte un problème potentiel lié à la sécurité ou à la confidentialité d'un bucket, il crée une politique pour vous. La découverte automatique des données est activée par défaut pour tous les nouveaux clients Macie, et les clients Macie existants peuvent l'activer en un seul clic.

Macie est activé dans tous les comptes via AWS Organizations. Les administrateurs disposant des autorisations appropriées sur le compte d'administrateur délégué (dans ce cas, le compte Security Tooling) peuvent activer ou suspendre Macie sur n'importe quel compte, créer des tâches de découverte de données sensibles pour les buckets appartenant à des comptes membres et consulter toutes les conclusions relatives aux politiques relatives à tous les comptes membres. Les résultats de données sensibles ne peuvent être consultés que par le compte qui a créé la tâche de résultats sensibles. Pour plus d'informations, consultez la section Gestion de plusieurs comptes Macie en tant qu'organisation dans la documentation Macie.

Les résultats de Macie sont transmis à des AWS Security Hub CSPM fins d'examen et d'analyse. Macie s'intègre également EventBridge à Amazon pour faciliter les réponses automatisées aux résultats tels que les alertes, les flux vers les systèmes de gestion des informations et des événements de sécurité (SIEM) et les mesures correctives automatisées.

Analyseur d’accès IAM

Alors que vous accélérez votre processus d' AWS Cloud adoption et que vous continuez à innover, il est essentiel de contrôler étroitement les accès précis (autorisations), de contenir la prolifération des accès et de garantir que les autorisations sont utilisées efficacement. L'accès excessif et non utilisé pose des problèmes de sécurité et complique l'application du principe du moindre privilège par les entreprises. Ce principe est un pilier important de l'architecture de sécurité qui implique de dimensionner en permanence les autorisations IAM afin de trouver un équilibre entre les exigences de sécurité et les exigences opérationnelles et de développement d'applications. Cet effort implique de nombreuses parties prenantes, notamment des équipes de sécurité centrale et du centre d'excellence cloud (CCoE) ainsi que des équipes de développement décentralisées.

Gestion des identités et des accès AWS Access Analyzer fournit des outils permettant de définir efficacement des autorisations précises, de vérifier les autorisations prévues et d'affiner les autorisations en supprimant les accès non utilisés afin de vous aider à respecter les normes de sécurité de votre entreprise. Il vous donne une visibilité sur l'accès externe et interne aux AWS ressources et sur les résultats d'accès non utilisés via des tableaux de bord et AWS Security Hub CSPM. En outre, il prend en charge Amazon EventBridge pour les flux de travail personnalisés de notification et de correction basés sur les événements.

La fonction de résultats de l'analyseur d'accès externe d'IAM Access Analyzer vous aide à identifier les ressources de votre AWS organisation et les comptes, tels que les compartiments Amazon S3 ou les rôles IAM, qui sont partagés avec une entité externe. L' AWS organisation ou le compte que vous choisissez est connu sous le nom de zone de confiance. L'analyseur utilise un raisonnement automatique pour analyser toutes les ressources prises en charge dans la zone de confiance et génère des résultats pour les principaux qui peuvent accéder aux ressources depuis l'extérieur de la zone de confiance. Ces résultats permettent d'identifier les ressources partagées avec une entité externe et de prévisualiser l'impact de votre politique sur l'accès public et multicompte à votre ressource avant de déployer les autorisations relatives aux ressources. Ceci est disponible sans frais supplémentaires.

De même, la fonction de recherche de l'analyseur d'accès interne d'IAM Access Analyzer vous aide à identifier les ressources de votre AWS organisation et les comptes partagés avec les principaux en interne au sein de votre organisation ou de votre compte. Cette analyse soutient le principe du moindre privilège en garantissant que les ressources que vous avez spécifiées ne sont accessibles qu'aux principaux responsables concernés au sein de votre organisation. Il s'agit d'une fonctionnalité payante qui nécessite une configuration explicite des ressources à inspecter. Utilisez cette fonctionnalité judicieusement pour surveiller des ressources sensibles spécifiques qui, de par leur conception, doivent être verrouillées même en interne.

Les résultats d'IAM Access Analyzer vous aident également à identifier les accès non utilisés accordés dans vos AWS organisations et comptes, notamment : 

Vous pouvez utiliser les résultats générés par IAM Access Analyzer pour obtenir de la visibilité sur tout accès involontaire ou non utilisé et y remédier, conformément aux politiques et aux normes de sécurité de votre organisation. Après correction, ces résultats sont marqués comme résolus lors de la prochaine exécution de l'analyseur. Si le résultat est intentionnel, vous pouvez le marquer comme archivé dans IAM Access Analyzer et hiérarchiser les autres résultats présentant un risque de sécurité accru. En outre, vous pouvez configurer des règles d'archivage pour archiver automatiquement des résultats spécifiques. Par exemple, vous pouvez créer une règle d’archivage pour archiver automatiquement tous les résultats pour un compartiment Amazon S3 spécifique auquel vous accordez régulièrement l’accès. 

En tant que créateur, vous pouvez utiliser IAM Access Analyzer pour effectuer des vérifications automatisées des politiques IAM plus tôt dans votre processus de développement et de déploiement (CI/CD) afin de respecter les normes de sécurité de votre entreprise. Vous pouvez intégrer les vérifications et révisions de politiques personnalisées d'IAM Access Analyzer AWS CloudFormation pour automatiser les révisions des politiques dans le cadre des pipelines de votre équipe de CI/CD développement. Cela inclut notamment les éléments suivants : 

Les équipes de sécurité et les autres auteurs de politiques IAM peuvent utiliser IAM Access Analyzer pour créer des politiques conformes à la grammaire des politiques IAM et aux normes de sécurité. La création manuelle de politiques correctement dimensionnées peut être source d'erreurs et prendre beaucoup de temps. La fonction de génération de politiques IAM Access Analyzer aide à créer des politiques IAM basées sur l'activité d'accès d'un principal. IAM Access Analyzer examine AWS CloudTrail les journaux des services pris en charge et génère un modèle de politique contenant les autorisations utilisées par le principal dans la plage de dates spécifiée. Vous pouvez ensuite utiliser ce modèle pour créer une politique avec des autorisations détaillées qui n'accordent que les autorisations nécessaires.

L'analyseur d'accès IAM est déployé dans le compte Security Tooling via la fonctionnalité d'administrateur délégué dans. AWS Organizations L'administrateur délégué est autorisé à créer et à gérer des analyseurs avec l' AWS organisation comme zone de confiance.

AWS Firewall Manager

AWS Firewall Managercontribue à protéger votre réseau en simplifiant vos tâches d'administration et de maintenance pour les AWS WAF groupes AWS Network Firewall de sécurité Amazon VPC Amazon Route 53 Resolver et le pare-feu DNS sur plusieurs comptes et ressources. AWS Shield Advanced Avec Firewall Manager, vous ne configurez qu'une seule AWS WAF fois vos règles de pare-feu, les protections Shield Advanced, les groupes de sécurité Amazon VPC, les pare-feux Network Firewall et les associations de groupes de règles de pare-feu DNS. Le service applique automatiquement les règles et les protections sur l'ensemble de vos comptes et de vos ressources, même celles qui sont ajoutées ultérieurement.

Firewall Manager est particulièrement utile lorsque vous souhaitez protéger AWS l'ensemble de votre organisation plutôt qu'un petit nombre de comptes et de ressources spécifiques, ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger. Firewall Manager utilise des politiques de sécurité pour vous permettre de définir un ensemble de configurations, notamment les règles, protections et actions pertinentes qui doivent être déployées, ainsi que les comptes et ressources (indiqués par des balises) à inclure ou à exclure. Vous pouvez créer des configurations granulaires et flexibles tout en étant en mesure d'étendre le contrôle à un grand nombre de comptes et VPCs. Ces politiques appliquent automatiquement et de manière cohérente les règles que vous configurez, même lorsque de nouveaux comptes et ressources sont créés. Firewall Manager est activé dans tous les comptes AWS Organizations, et la configuration et la gestion sont effectuées par les équipes de sécurité appropriées dans le compte d'administrateur délégué de Firewall Manager (dans ce cas, le compte Security Tooling).

Vous devez activer AWS Config chaque Région AWS élément contenant les ressources que vous souhaitez protéger. Si vous ne souhaitez pas l'activer AWS Config pour toutes les ressources, vous devez l'activer pour les ressources associées au type de politiques de Firewall Manager que vous utilisez. Lorsque vous utilisez à la fois Firewall Manager AWS Security Hub CSPM et Firewall Manager, Firewall Manager envoie automatiquement vos résultats à Security Hub CSPM. Firewall Manager crée des résultats pour les ressources non conformes et pour les attaques qu'il détecte, et envoie les résultats à Security Hub CSPM. Lorsque vous configurez une politique Firewall Manager pour AWS WAF, vous pouvez activer de manière centralisée la connexion aux listes de contrôle d'accès Web (Web ACLs) pour tous les comptes concernés et centraliser les journaux sous un seul compte.

Avec Firewall Manager, vous pouvez avoir un ou plusieurs administrateurs chargés de gérer les ressources de pare-feu de votre entreprise. Lorsque vous affectez plusieurs administrateurs, vous pouvez appliquer des conditions d'étendue administrative restrictives pour définir les ressources (comptes OUs, régions, types de politiques) que chaque administrateur peut gérer. Cela vous donne la flexibilité d'avoir différents rôles d'administrateur au sein de votre organisation et vous aide à conserver le principe de l'accès le moins privilégié. La AWS SRA utilise un administrateur dont l'intégralité de l'étendue administrative est déléguée au compte Security Tooling.

Amazon EventBridge

Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. Il est fréquemment utilisé dans l'automatisation de la sécurité. Vous pouvez configurer des règles de routage pour déterminer où envoyer vos données afin de créer des architectures d'applications qui réagissent en temps réel à toutes vos sources de données. Vous pouvez créer un bus d'événements personnalisé pour recevoir les événements de vos applications personnalisées, en plus d'utiliser le bus d'événements par défaut dans chaque compte. Vous pouvez créer un bus d'événements dans le compte Security Tooling qui peut recevoir des événements spécifiques à la sécurité provenant d'autres comptes de l'organisation. AWS Par exemple, en liant AWS Config Rules Amazon et AWS Security Hub CSPM avec GuardDuty EventBridge, vous créez un pipeline flexible et automatisé pour acheminer les données de sécurité, émettre des alertes et gérer les actions visant à résoudre les problèmes.

Amazon Detective

Amazon Detective soutient votre stratégie de contrôle de sécurité réactive en simplifiant l'analyse, l'investigation et l'identification rapide de la cause première des découvertes de sécurité ou des activités suspectes pour vos analystes de sécurité. Detective extrait automatiquement les événements temporels tels que les tentatives de connexion, les appels d'API et le trafic réseau à partir AWS CloudTrail des journaux et des journaux de flux Amazon VPC. Detective utilise ces événements en utilisant des flux indépendants de CloudTrail journaux et des journaux de flux Amazon VPC. Vous pouvez utiliser Detective pour accéder à un an de données historiques sur les événements. Detective utilise l'apprentissage automatique et la visualisation pour créer une vue unifiée et interactive du comportement de vos ressources et des interactions entre elles au fil du temps. C'est ce que l'on appelle un graphe de comportement. Vous pouvez explorer le graphe de comportement pour examiner des actions disparates telles que des tentatives d'ouverture de session infructueuses ou des appels d'API suspects.

Detective s'intègre à Amazon Security Lake pour permettre aux analystes de sécurité d'interroger et de récupérer les journaux stockés dans Security Lake. Vous pouvez utiliser cette intégration pour obtenir des informations supplémentaires à partir CloudTrail des journaux et des journaux de flux Amazon VPC stockés dans Security Lake lorsque vous menez des enquêtes de sécurité dans Detective.

Detective ingère également les résultats détectés par Amazon GuardDuty, y compris les menaces détectées par GuardDuty Runtime Monitoring. Lorsqu'un compte active Detective, il devient le compte administrateur du graphe de comportement. Avant d'essayer d'activer Detective, assurez-vous que votre compte est connecté GuardDuty depuis au moins 48 heures. Si vous ne répondez pas à cette exigence, vous ne pouvez pas l'activer DetectiveDetective.

Les sources de données facultatives supplémentaires pour Detective incluent les journaux d'audit Amazon EKS et AWS Security Hub CSPM. La source de données du journal d'audit Amazon EKS améliore les informations fournies sur les types d'entités suivants : clusters Amazon EKS, pods Kubernetes, images de conteneurs et sujets Kubernetes. La source de données Security Hub fait partie des résultats de AWS sécurité, où elle met en corrélation les résultats de différents produits dans Security Hub et les intègre dans Detective.

Detective regroupe automatiquement plusieurs résultats liés à un seul événement de compromission de sécurité dans des groupes de recherche. Les acteurs de la menace exécutent généralement une séquence d'actions qui aboutissent à de multiples constatations de sécurité réparties dans le temps et les ressources. Par conséquent, la recherche de groupes devrait être le point de départ des enquêtes impliquant plusieurs entités et conclusions. Detective fournit également des résumés de groupes de recherche en utilisant une IA générative qui analyse automatiquement les groupes de recherche et fournit des informations en langage naturel pour vous aider à accélérer les enquêtes de sécurité.

Detective s'intègre à AWS Organizations. Le compte Org Management délègue un compte membre en tant que compte administrateur Detective. Dans le AWS SRA, il s'agit du compte Security Tooling. Le compte administrateur Detective permet d'activer automatiquement tous les comptes membres actuels de l'organisation en tant que comptes de membre Detective, et d'ajouter de nouveaux comptes membres au fur et à mesure qu'ils sont ajoutés à l' AWS organisation. Les comptes d'administrateur Detective ont également la possibilité d'inviter des comptes membres qui ne résident pas actuellement dans l' AWS organisation, mais qui appartiennent à la même région, à fournir leurs données au graphique de comportement du compte principal. Lorsqu'un compte membre accepte l'invitation et est activé, Detective commence à ingérer et à extraire les données du compte membre dans ce graphique de comportement.

AWS Audit Manager

AWS Audit Managervous aide à auditer en permanence votre AWS utilisation afin de simplifier la gestion des audits et la conformité aux réglementations et aux normes du secteur. Elle vous permet de passer de la collecte, de l'examen et de la gestion manuels des preuves à une solution qui automatise la collecte des preuves, fournit un moyen simple de suivre la source des preuves d'audit, permet la collaboration en équipe et aide à gérer la sécurité et l'intégrité des preuves. Lorsqu’il est temps d’effectuer un audit, Audit Manager vous aide à gérer les examens de vos contrôles par les parties prenantes.

Avec Audit Manager, vous pouvez effectuer un audit par rapport à des frameworks prédéfinis tels que le benchmark du Center for Internet Security (CIS), le CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) et le Payment Card Industry Data Security Standard (PCI DSS). Il vous donne également la possibilité de créer vos propres cadres avec des contrôles standard ou personnalisés en fonction de vos exigences spécifiques en matière d'audits internes.

Audit Manager collecte quatre types de preuves. Trois types de preuves sont automatisés : les preuves de contrôle de conformité provenant de AWS Config et AWS Security Hub CSPM, les preuves d'événements de AWS CloudTrail gestion et les preuves de configuration provenant d'appels d' AWS service-to-service API. Pour les preuves qui ne peuvent pas être automatisées, Audit Manager vous permet de télécharger des preuves manuelles.

Par défaut, vos données dans Audit Manager sont chiffrées à l'aide de clés AWS gérées. Le AWS SRA utilise une clé gérée par le client pour le chiffrement afin de mieux contrôler l'accès logique. Vous devez également configurer un compartiment S3 dans l' Région AWS endroit où Audit Manager publie le rapport d'évaluation. Ces compartiments doivent être chiffrés à l'aide d'une clé gérée par le client et avoir une politique de compartiment configurée pour autoriser uniquement Audit Manager à publier des rapports.  

Les évaluations d'Audit Manager peuvent être effectuées sur plusieurs comptes au sein de votre AWS organisation. Audit Manager collecte et consolide les preuves dans un compte d'administrateur délégué dans AWS Organizations. Cette fonctionnalité d'audit est principalement utilisée par les équipes de conformité et d'audit interne, et ne nécessite qu'un accès en lecture à votre Comptes AWS.

AWS Artifact

AWS Artifactest hébergé dans le compte Security Tooling afin de séparer la fonctionnalité de gestion des artefacts de conformité du compte de gestion de l' AWS organisation. Cette séparation des tâches est importante car nous vous recommandons d'éviter d'utiliser le compte AWS Org Management pour les déploiements, sauf en cas d'absolue nécessité. Transférez plutôt les déploiements aux comptes des membres. Étant donné que la gestion des artefacts d'audit peut être effectuée à partir d'un compte membre et que la fonction est étroitement liée à l'équipe de sécurité et de conformité, le compte Security Tooling est désigné comme compte administrateur pour. AWS Artifact Vous pouvez utiliser AWS Artifact les rapports pour télécharger des documents AWS de sécurité et de conformité, tels que les certifications AWS ISO, les rapports PCI (Payment Card Industry) et les rapports SOC (System and Organization Controls).

AWS Artifact ne prend pas en charge la fonctionnalité d'administration déléguée. Au lieu de cela, vous pouvez limiter cette fonctionnalité aux seuls rôles IAM du compte Security Tooling relatifs à vos équipes d'audit et de conformité, afin qu'elles puissent télécharger, examiner et fournir ces rapports aux auditeurs externes selon les besoins. Vous pouvez également restreindre les rôles IAM spécifiques afin de n'avoir accès qu'à des AWS Artifact rapports spécifiques par le biais de politiques IAM. Pour des exemples de politiques IAM, consultez la AWS Artifact documentation.

AWS KMS

AWS Key Management Service(AWS KMS) vous aide à créer et à gérer des clés cryptographiques et à contrôler leur utilisation dans un large éventail d'applications Services AWS et dans celles-ci. AWS KMS est un service sécurisé et résilient qui utilise des modules de sécurité matériels pour protéger les clés cryptographiques. Il suit les processus de cycle de vie standard du secteur pour les éléments clés, tels que le stockage, la rotation et le contrôle d'accès des clés. AWS KMS peut aider à protéger vos données à l'aide de clés de chiffrement et de signature, et peut être utilisé à la fois pour le chiffrement côté serveur et le chiffrement côté client via le SDK de chiffrement.AWS Pour des raisons de protection et de flexibilité, AWS KMS prend en charge trois types de clés : les clés gérées par le client, les clés AWS gérées et les clés AWS détenues. Les clés gérées par le client sont des AWS KMS clés Compte AWS que vous créez, détenez et gérez. AWS les clés gérées sont des AWS KMS clés de votre compte créées, gérées et utilisées en votre nom par et intégrées à AWS KMS. Service AWS AWS les clés possédées sont un ensemble de AWS KMS clés qu'un Service AWS utilisateur possède et gère pour une utilisation multiple Comptes AWS. Pour plus d'informations sur l'utilisation AWS KMS des clés, consultez la AWS KMS documentation et les détails AWS KMS cryptographiques.

L'une des options de déploiement consiste à centraliser la responsabilité de la gestion des AWS KMS clés sur un seul compte tout en déléguant la capacité d'utiliser les clés du compte d'application aux ressources de l'application en utilisant une combinaison de politiques clés et IAM. Cette approche est sûre et simple à gérer, mais elle peut se AWS KMS heurter à des obstacles en raison des limites de régulation, des limites de service des comptes et de l'inondation de l'équipe de sécurité par les tâches opérationnelles de gestion des clés. Une autre option de déploiement consiste à utiliser un modèle décentralisé dans lequel vous autorisez AWS KMS à résider dans plusieurs comptes, et vous autorisez les responsables de l'infrastructure et des charges de travail d'un compte spécifique à gérer leurs propres clés. Ce modèle donne à vos équipes chargées de la charge de travail plus de contrôle, de flexibilité et d'agilité en ce qui concerne l'utilisation des clés de chiffrement. Cela permet également d'éviter les limites d'API, de limiter l'étendue de l'impact à une Compte AWS seule et de simplifier les tâches de reporting, d'audit et autres tâches liées à la conformité. Dans un modèle décentralisé, il est important de déployer et d'appliquer des garde-fous afin que les clés décentralisées soient gérées de la même manière et que l'utilisation des AWS KMS clés soit auditée conformément aux meilleures pratiques et politiques établies. Pour plus d'informations, consultez le livre blanc AWS Key Management Service Meilleures pratiques. AWS La SRA recommande un modèle de gestion distribuée des clés dans lequel les AWS KMS clés résident localement dans le compte où elles sont utilisées. Nous vous recommandons d'éviter d'utiliser une seule clé dans un compte pour toutes les fonctions cryptographiques. Les clés peuvent être créées en fonction des exigences relatives à la fonction et à la protection des données, et pour appliquer le principe du moindre privilège. Dans certains cas, les autorisations de chiffrement seraient séparées des autorisations de déchiffrement, et les administrateurs géreraient les fonctions du cycle de vie mais ne seraient pas en mesure de chiffrer ou de déchiffrer les données avec les clés qu'ils gèrent.

Dans le compte Security Tooling, AWS KMS il est utilisé pour gérer le chiffrement des services de sécurité centralisés tels que le AWS CloudTrail journal de l'organisation géré par l' AWS organisation.

AWS CA privée

AWS Autorité de certification privée(AWS CA privée) est un service d'autorité de certification privée géré qui vous aide à gérer en toute sécurité le cycle de vie de vos certificats TLS d'entité finale privée pour les EC2 instances, les conteneurs, les appareils IoT et les ressources sur site. Il permet de chiffrer les communications TLS avec les applications en cours d'exécution. Vous pouvez ainsi créer votre propre hiérarchie d'autorités de certification (une autorité de certification racine, par le biais de certificats subordonnés CAs à l'entité finale) et émettre des certificats pour authentifier les utilisateurs internes, les ordinateurs, les applications, les services, les serveurs et autres appareils, et pour signer le code informatique. AWS CA privée Les certificats émis par une autorité de certification privée ne sont fiables qu'au sein de votre AWS organisation, et non sur Internet.

Une infrastructure à clé publique (PKI) ou une équipe de sécurité peut être chargée de gérer l'ensemble de l'infrastructure PKI. Cela inclut la gestion et la création de l'autorité de certification privée. Cependant, il doit y avoir une disposition permettant aux équipes chargées de la charge de travail de répondre elles-mêmes à leurs exigences en matière de certificats. Le AWS SRA décrit une hiérarchie d'autorité de certification centralisée dans laquelle l'autorité de certification racine est hébergée dans le compte Security Tooling. Cela permet aux équipes de sécurité d'appliquer un contrôle de sécurité rigoureux, car l'autorité de certification racine est à la base de l'ensemble de l'infrastructure PKI. Cependant, la création de certificats privés à partir de l'autorité de certification privée est déléguée aux équipes de développement d'applications en partageant l'autorité de certification sur un compte d'application à l'aide de AWS Resource Access Manager (AWS RAM). AWS RAM gère les autorisations requises pour le partage entre comptes. Cela élimine le besoin d'une autorité de certification privée pour chaque compte et constitue un mode de déploiement plus rentable. Pour plus d'informations sur le flux de travail et la mise en œuvre, consultez le billet de blog Comment utiliser AWS RAM pour partager vos AWS CA privée comptes entre plusieurs comptes.

Amazon Inspector

Amazon Inspector est un service de gestion automatique des vulnérabilités qui découvre et analyse automatiquement les EC2 instances Amazon, les images de conteneurs dans Amazon Elastic Container Registry (Amazon ECR) AWS Lambda , les fonctions et les référentiels de code au sein de vos gestionnaires de code source pour détecter des vulnérabilités logicielles connues et une exposition involontaire au réseau.

Amazon Inspector évalue en permanence votre environnement tout au long du cycle de vie de vos ressources en analysant automatiquement les ressources chaque fois que vous y apportez des modifications. Les événements qui déclenchent la nouvelle analyse d'une ressource incluent l'installation d'un nouveau package sur une EC2 instance, l'installation d'un correctif et la publication d'un nouveau rapport CVE (Common Vulnerabilities and Exposures) qui affecte la ressource. Amazon Inspector prend en charge les évaluations comparatives du Center of Internet Security (CIS) pour les systèmes d'exploitation dans EC2 les instances.

Amazon Inspector s'intègre à des outils de développement tels que Jenkins et TeamCity pour l'évaluation des images de conteneurs. Vous pouvez évaluer les vulnérabilités logicielles de vos images de conteneur dans le cadre de votre intégration continue et de votre livraison continue (tableau de bord de l'CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CDoutil), afin de pouvoir effectuer des actions automatisées en réponse à des problèmes de sécurité critiques tels que le blocage de builds ou le transfert d'images vers des registres de conteneurs. Si vous en avez un actif Compte AWS, vous pouvez installer le plugin Amazon Inspector depuis votre place de marché d' CI/CD outils et ajouter un scan Amazon Inspector à votre pipeline de génération sans avoir à activer le service Amazon Inspector. Cette fonctionnalité fonctionne avec des CI/CD outils hébergés n'importe où (sur site AWS, sur site ou dans des clouds hybrides) afin que vous puissiez toujours utiliser une solution unique dans tous vos pipelines de développement. Lorsqu'Amazon Inspector est activé, il découvre automatiquement toutes vos EC2 instances, les images de conteneurs dans Amazon ECR et les CI/CD outils, ainsi que les fonctions Lambda à grande échelle, et les surveille en permanence pour détecter les vulnérabilités connues.

Les résultats d'Amazon Inspector relatifs à l'accessibilité du réseau évaluent l'accessibilité de vos EC2 instances vers ou depuis les périphériques du VPC, tels que les passerelles Internet, les connexions d'appairage VPC ou les réseaux privés virtuels () via une passerelle virtuelle. VPNs Ces règles permettent d'automatiser la surveillance de vos AWS réseaux et d'identifier les endroits où l'accès réseau à vos EC2 instances est susceptible d'être mal configuré en raison de groupes de sécurité mal gérés, de listes de contrôle d'accès (ACLs), de passerelles Internet, etc. Pour plus d'informations, consultez la documentation Amazon Inspector.

Lorsqu'Amazon Inspector identifie des vulnérabilités ou des chemins réseau ouverts, il produit un résultat que vous pouvez examiner. Le résultat inclut des informations complètes sur la vulnérabilité, notamment un score de risque, la ressource affectée et des recommandations de correction. Le score de risque est spécifiquement adapté à votre environnement et est calculé en corrélant les informations up-to-date CVE avec des facteurs temporels et environnementaux tels que les informations d'accessibilité et d'exploitabilité du réseau afin de fournir une constatation contextuelle.

Amazon Inspector Code Security analyse le code source des applications propriétaires, les dépendances des applications tierces et l'infrastructure en tant que code (IaC) pour détecter les vulnérabilités. Après avoir activé Code Security, vous pouvez créer et appliquer une configuration de scan à votre référentiel de code afin de déterminer la fréquence, le type de scan et les référentiels à scanner. Code Security prend en charge les tests statiques de sécurité des applications (SAST), l'analyse de la composition logicielle (SCA) et l'analyse iAc. Pour configurer la fréquence, vous pouvez définir des scans à la demande, lors de modifications de code ou périodiquement. L'analyse du code capture des extraits de code pour mettre en évidence les vulnérabilités détectées. Les extraits de code sont stockés chiffrés à l'aide de clés KMS. L'administrateur délégué d'une organisation ne peut pas consulter les extraits de code appartenant aux comptes des membres. Une fois que vous avez intégré vos gestionnaires de code source (SCMs) à Code Security, tous les référentiels de code sont répertoriés en tant que projets dans la console Amazon Inspector. Code Security surveille uniquement la branche par défaut de chaque référentiel. Amazon Inspector rationalise les mesures de sécurité en fournissant des recommandations de correction de code spécifiques directement sur le lieu de travail des développeurs. L'intégration bidirectionnelle avec votre SCM suggère automatiquement des correctifs sous forme de commentaires dans les pull requests (PRs) et les demandes de fusion (MRs) pour les résultats critiques et élevés, et alerte les développeurs sur les vulnérabilités les plus importantes à corriger sans perturber leur flux de travail. 

Pour détecter les vulnérabilités, les EC2 instances doivent être gérées à l'aide AWS Systems Manager de l' AWS Systems Manager agent (SSMAgent).  Aucun agent n'est requis pour l'accessibilité réseau des EC2 instances ou pour l'analyse des vulnérabilités des images de conteneurs dans les fonctions Amazon ECR ou Lambda.

Amazon Inspector est intégré AWS Organizations et prend en charge l'administration déléguée. Dans le AWS SRA, le compte Security Tooling devient le compte d'administrateur délégué d'Amazon Inspector. Le compte d'administrateur délégué Amazon Inspector peut gérer les données relatives aux résultats et certains paramètres pour les membres de l' AWS organisation. Cela inclut l'affichage des détails des résultats agrégés pour tous les comptes membres, l'activation ou la désactivation des scans des comptes membres et l'examen des ressources numérisées au sein de l' AWS organisation.

Réponse aux incidents de sécurité AWS

Réponse aux incidents de sécurité AWSest un service qui vous aide à vous préparer aux incidents de sécurité dans votre AWS environnement et à y répondre. Il trie les résultats, intensifie les événements de sécurité et gère les cas qui nécessitent votre attention immédiate. En outre, il vous donne accès à l'équipe de réponse aux incidents AWS clients (CIRT), qui enquête sur les ressources concernées. Réponse aux incidents de sécurité AWS fournit également des fonctionnalités de réponse et de correction automatisées par le biais de AWS Systems Manager documents (documents SSM), qui aident les équipes de sécurité à répondre aux incidents de sécurité et à s'en remettre plus efficacement. Réponse aux incidents de sécurité AWS s'intègre à Amazon GuardDuty et AWS Security Hub CSPM pour recevoir les résultats de sécurité et orchestrer des réponses automatisées.

Dans le AWS SRA, Réponse aux incidents de sécurité AWS est déployé dans le compte Security Tooling en tant que compte d'administrateur délégué. Le compte Security Tooling est sélectionné car il correspond à l'objectif du compte, qui est d'exploiter les services de sécurité et d'automatiser les alertes et les réponses de sécurité. Le compte Security Tooling fait également office de compte d'administrateur délégué pour Security Hub CSPM et contribue GuardDuty à simplifier la gestion des flux Réponse aux incidents de sécurité AWS de travail. Réponse aux incidents de sécurité AWS est configuré pour fonctionner avec AWS Organizations, afin que vous puissiez gérer les réponses aux incidents sur les comptes de votre organisation à partir du compte Security Tooling.

Réponse aux incidents de sécurité AWS vous aide à mettre en œuvre les phases suivantes du cycle de vie de réponse aux incidents :

Vous pouvez également l'utiliser Réponse aux incidents de sécurité AWS pour créer des dossiers autogérés. Réponse aux incidents de sécurité AWS peut créer une notification sortante ou un cas lorsque vous devez être au courant d'un élément susceptible d'avoir un impact sur votre compte ou vos ressources ou agir en conséquence. Cette fonctionnalité n'est disponible que lorsque vous activez les flux de travail de réponse proactive et de triage des alertes dans le cadre de votre abonnement.

Déployer des services de sécurité communs au sein de tous Comptes AWS

La section Appliquer les services de sécurité à l'ensemble de votre AWS organisation plus haut dans cette référence a mis en évidence les services de sécurité qui protègent un Compte AWS, et a noté que bon nombre de ces services peuvent également être configurés et gérés au sein de l'entreprise AWS Organizations. Certains de ces services doivent être déployés dans tous les comptes, et vous les verrez dans le AWS SRA. Cela permet un ensemble cohérent de garde-fous et fournit une surveillance, une gestion et une gouvernance centralisées au sein de votre AWS organisation.

Security Hub CSPM,, GuardDuty AWS Config, IAM Access Analyzer et les traces d' CloudTrail organisation apparaissent dans tous les comptes. Les trois premiers prennent en charge la fonctionnalité d'administrateur délégué décrite précédemment dans la section Le compte de gestion, l'accès sécurisé et les administrateurs délégués. CloudTrail utilise actuellement un mécanisme d'agrégation différent.

Le référentiel de GitHub code AWS SRA fournit un exemple d'implémentation permettant d'activer Security Hub CSPM,, GuardDuty AWS Config AWS Firewall Manager, et les traces d' CloudTrail organisation sur tous vos comptes, y compris le compte AWS Org Management.