Exemple d'équipe cloud : modification des configurations VPC - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple d'équipe cloud : modification des configurations VPC

L'équipe cloud est chargée de trier et de corriger les résultats de sécurité présentant des tendances communes, tels que les modifications des paramètres AWS par défaut susceptibles de ne pas convenir à votre cas d'utilisation. Ces résultats ont tendance à affecter de nombreuses Comptes AWS ressources, telles que les configurations VPC, ou à inclure une restriction qui doit être appliquée à l'ensemble de l'environnement. Dans la plupart des cas, l'équipe cloud apporte des modifications manuelles ponctuelles, telles que l'ajout ou la mise à jour d'une politique.

Une fois que votre organisation a utilisé un AWS environnement pendant un certain temps, vous constaterez peut-être l'apparition d'un ensemble d'anti-modèles. Un anti-modèle est une solution fréquemment utilisée pour un problème récurrent où la solution est contre-productive, inefficace ou moins efficace qu'une alternative. Comme alternative à ces anti-modèles, votre organisation peut utiliser des restrictions plus efficaces à l'échelle de l'environnement, telles que des politiques de contrôle des AWS Organizations services (SCPs) ou des ensembles d'autorisations IAM Identity Center. SCPs et les ensembles d'autorisations peuvent fournir des restrictions supplémentaires pour les types de ressources, par exemple en empêchant les utilisateurs de configurer un bucket Amazon Simple Storage Service (Amazon S3) public. Bien qu'il puisse être tentant de restreindre toutes les configurations de sécurité possibles, il existe des limites de taille pour les politiques SCPs et les ensembles d'autorisations. Nous recommandons une approche équilibrée en matière de contrôles préventifs et de détection.

Voici quelques contrôles issus de la norme AWS Security Hub Foundational Security Best Practices (FSBP) dont l'équipe cloud pourrait être responsable :

Dans cet exemple, l'équipe du cloud traite d'une constatation concernant le contrôle FSBP EC2 2.2. La documentation de ce contrôle recommande de ne pas utiliser le groupe de sécurité par défaut car il permet un accès étendu via les règles entrantes et sortantes par défaut. Comme le groupe de sécurité par défaut ne peut pas être supprimé, il est recommandé de modifier les paramètres des règles afin de limiter le trafic entrant et sortant. Pour résoudre efficacement ce problème, l'équipe cloud doit utiliser les mécanismes établis pour modifier les règles du groupe de sécurité pour tous, VPCs car chaque VPC possède ce groupe de sécurité par défaut. Dans la plupart des cas, les équipes cloud gèrent les configurations VPC à l'aide de AWS Control Towerpersonnalisations ou d'un outil d'infrastructure en tant que code (IaC), tel que HashiCorp Terraform ou AWS CloudFormation.