# Sécurité
Le pilier Sécurité présente la capacité de protéger les données ainsi que les systèmes et les ressources pour tirer parti des technologies du cloud et améliorer votre sécurité.
Il fournit une vue d'ensemble des principes de conception, des bonnes pratiques et des questions. Vous trouverez des recommandations sur l'implémentation dans le [Livre blanc du pilier Sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [
# Principes de conception
](sec-design.md)
+ [
# Définition
](sec-def.md)
+ [
# Bonnes pratiques
](sec-bp.md)
+ [
# Ressources
](sec-resources.md)
# Principes de conception
Il existe sept principes de conception pour la sécurité dans le cloud :
+ **Mettre en place une solide base pour le contrôle des identités** : mettez en œuvre le principe du moindre privilège et appliquez la séparation des responsabilités avec l'autorisation appropriée pour chaque interaction avec vos ressources AWS. Centralisez la gestion des identités et visez l'élimination de la dépendance aux informations d'identification statiques de longue durée.
+ **Mettre en place la traçabilité** : surveillez, alertez et contrôlez les actions et les modifications apportées à votre environnement en temps réel. Intégrez la collecte des journaux et des métriques aux systèmes pour effectuer des analyses et prendre des mesures automatiquement.
+ **Appliquer la sécurité à toutes les couches** : appliquez une approche approfondie de protection avec plusieurs contrôles de sécurité. Appliquez-les à toutes les couches (par exemple, périphérie du réseau, VPC, équilibrage de charge, chaque instance et service de calcul, système d'exploitation, application et code).
+ **Automatiser les bonnes pratiques en matière de sécurité** : les mécanismes de sécurité automatisés basés sur les logiciels améliorent votre capacité à vous mettre à l'échelle de manière plus rapide et plus rentable en toute sécurité. Créez des architectures sécurisées, y compris avec mise en œuvre des contrôles définis et gérés en tant que code dans les modèles de contrôle de versions.
+ **Protéger les données en transit et au repos** : classez vos données selon différents niveaux de sensibilité et utilisez des mécanismes, tels que le chiffrement, la création de jetons et le contrôle d'accès, si nécessaire.
+ **Éviter les interventions humaines sur les données** : utilisez des mécanismes et outils pour réduire ou éliminer le besoin d'accès direct ou le traitement manuel des données. Cette approche permet de réduire les risques de mauvaise manipulation ou de modification ainsi que les erreurs humaines lors d'interventions sur des données sensibles.
+ **Se préparer aux incidents impliquant la sécurité** : préparez-vous à un incident en mettant en œuvre une stratégie et des processus de gestion et d'investigation des incidents conformes aux besoins de l'entreprise. Exécutez des simulations de réponse aux incidents et utilisez des outils d'automatisation pour améliorer votre vitesse de détection, d'investigation et de récupération.
# Définition
Il existe six domaines de bonnes pratiques en matière de sécurité dans le cloud :
+ **Sécurité**
+ **Identity and Access Management**
+ **Détection**
+ **Protection de l'infrastructure**
+ **Protection des données**
+ **Réponse aux incidents**
Vous devez mettre en place des pratiques qui influent sur la sécurité avant de concevoir l'architecture d'une charge de travail. Vous voudrez contrôler qui peut faire quoi. De plus, vous voulez être en mesure d'identifier les incidents de sécurité, de protéger vos systèmes et services, et de maintenir la confidentialité et l'intégrité des données via la protection de données. Vous devez disposer d'un processus bien défini et utilisé pour répondre aux incidents de sécurité. Ces outils et techniques sont importants, car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires.
Le modèle de responsabilité partagée AWS permet aux organisations qui adoptent le cloud d'atteindre leurs objectifs de sécurité et de conformité. Puisqu'AWS sécurise physiquement l'infrastructure qui prend en charge nos services cloud, en tant que client AWS vous pouvez vous concentrer sur l'utilisation de services pour accomplir vos objectifs. Le cloud AWS inclut également un meilleur accès aux données de sécurité et offre une approche automatisée pour répondre aux événements de sécurité.
# Bonnes pratiques
**Topics**
+ [
# Sécurité
](sec-security.md)
+ [
# Identity and Access Management
](sec-iam.md)
+ [
# Détection
](sec-detection.md)
+ [
# Protection de l'infrastructure
](sec-infrastructure.md)
+ [
# Protection des données
](sec-dataprot.md)
+ [
# Réponse aux incidents
](sec-incresp.md)
# Sécurité
Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail.
La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité.
La question suivante est axée sur ces considérations relatives à la sécurité. (Pour obtenir la liste des questions et des bonnes pratiques liées à la sécurité, consultez l' [Annexe](a-security.md).)
| SEC 1 : Comment gérer votre charge de travail en toute sécurité ? |
| --- |
| Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS pour votre secteur et des informations sur les menaces vous aidera à faire évoluer votre modèle de menaces et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité. |
La séparation des différentes charges de travail par compte selon leur fonction et les exigences de conformité ou de sensibilité des données est une approche recommandée dans AWS.
# Identity and Access Management
Identity and access management est un élément essentiel d'un programme de protection des informations. En effet, il garantit que seuls les utilisateurs et les composants autorisés et authentifiés sont en mesure d'accéder à vos ressources, et uniquement comme vous le décidez. Par exemple, vous devez définir des mandataires (c'est-à-dire les comptes, les utilisateurs, les rôles et les services qui peuvent effectuer des actions dans votre compte), élaborer des stratégies conformes à ces mandataires et mettre en œuvre une gestion solide des informations d'identification. Ces éléments de gestion des privilèges constituent la base de l'authentification et de l'autorisation.
Dans AWS, la gestion des privilèges est principalement prise en charge par le service AWS Identity and Access Management (IAM), qui vous permet de contrôler l'accès des utilisateurs et l'accès par programmation aux services et ressources AWS. Vous devez appliquer des politiques précises qui attribuent des autorisations à un utilisateur, un groupe, un rôle ou une ressource. Vous avez également la possibilité d'exiger des pratiques de mot de passe rigoureuses, telles que le niveau de complexité, qui vous évitent de réutiliser les mêmes et permet d'appliquer l'authentification multi-facteurs (MFA). Vous pouvez utiliser la fédération avec votre service d'annuaire existant. Pour les charges de travail qui exigent des systèmes qu'ils disposent d'un accès à AWS, IAM permet un accès sécurisé via des rôles, des profils d'instance, une fédération d'identité et des informations d'identification temporaires.
Les questions suivantes sont axées sur ces quelques considérations liées à la sécurité.
| SEC 2 : Comment gérer les identités des personnes et des machines ? |
| --- |
| Il existe deux types d'identités à gérer dans le cadre de l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur Web, une application cliente ou des outils de ligne de commande interactifs. Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS. |
| SEC 3 : Comment gérer les autorisations des personnes et des machines ? |
| --- |
| Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès. |
Les informations d'identification ne doivent être partagées entre aucun utilisateur ou système. L'accès utilisateur doit être accordé via une approche de moindre privilège, en suivant différentes bonnes pratiques comme les exigences de mot de passe et l'application de l'authentification multi-facteurs. L'accès par programmation, y compris les appels d'API adressés aux services AWS, doit être exécuté à l'aide d'informations d'identification temporaires et à privilèges limités, telles que celles émises par le service AWS Security Token Service.
AWS fournit des ressources qui peuvent vous aider avec Identity and Access Management. Pour vous aider à apprendre les bonnes pratiques, explorez nos ateliers pratiques sur [la gestion des informations d'identification et de l'authentification](https://wellarchitectedlabs.com/Security/Quest_Managing_Credentials_and_Authentication/README.html?ref=wellarchitected-wp), [le contrôle de l'accès humain](https://wellarchitectedlabs.com/Security/Quest_Control_Human_Access/README.html?ref=wellarchitected-wp)et [le contrôle de l'accès par programmation](https://wellarchitectedlabs.com/Security/Quest_Control_Programmatic_Access/README.html?ref=wellarchitected-wp).
# Détection
Vous pouvez utiliser les contrôles de détection pour identifier une menace ou un incident de sécurité potentiel. Ils constituent un élément essentiel des cadres de gouvernance et peuvent être utilisés pour soutenir un processus de qualité, une obligation légale ou de conformité et pour identifier les menaces et renforcer les moyens d'intervention. Il existe différents types de contrôles de détection. Par exemple, effectuer un inventaire des ressources et de leurs attributs détaillés favorise une prise de décision plus efficace (et des contrôles du cycle de vie) pour contribuer à établir des bases de référence opérationnelles. Vous pouvez également utiliser un audit interne, un examen des contrôles liés aux systèmes d'informations, pour vous assurer que les pratiques répondent aux politiques et aux exigences, et que vous avez défini les notifications d'alerte automatique correctes en fonction des conditions définies. Ces contrôles sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée des activités anormales.
Dans AWS, vous pouvez implémenter des contrôles de détection en traitant les journaux, les événements et la surveillance qui permettent d'effectuer des audits, des analyses automatisées et de configurer des alarmes. Les journaux CloudTrail, les appels d'API AWS et CloudWatch assurent une surveillance des métriques avec des alarmes, et AWS Config fournit un historique de configuration. Amazon GuardDuty est un service géré de détection des menaces qui surveille en permanence les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes et charges de travail AWS. Les journaux de niveau de service sont également disponibles. Par exemple, vous pouvez utiliser Amazon Simple Storage Service (Amazon S3) pour journaliser les demandes d'accès.
La question suivante est axée sur ces considérations relatives à la sécurité.
| SEC 4 : Comment détecter et enquêter sur les événements de sécurité ? |
| --- |
| Capturez et analysez les événements de journaux et les métriques pour obtenir une meilleure visibilité. Prenez des mesures en réaction aux événements de sécurité et aux menaces potentielles afin de contribuer à sécuriser votre charge de travail. |
La gestion des journaux est essentielle dans le cadre d'une charge de travail well-architected, pour des raisons allant de sécurité, d'analyse ou d'exigences réglementaires ou légales. Il est essentiel que vous analysiez les fichiers journaux et que vous y répondiez pour pouvoir identifier les problèmes de sécurité éventuels. AWS fournit des fonctionnalités qui simplifient l'implémentation de la gestion des journaux en vous offrant la possibilité de définir un cycle de vie de conservation des données ou de définir à quel emplacement les données seront conservées, archivées ou éventuellement supprimées. La gestion des données fiables et prévisibles en devient plus simple et plus économique.
# Protection de l'infrastructure
La protection de l'infrastructure comprend des méthodologies de contrôle, telles que la défense en profondeur, nécessaires au respect des bonnes pratiques et des obligations organisationnelles ou réglementaires. L'utilisation de ces méthodologies est essentielle au succès des opérations en cours, que ce soit dans le cloud ou sur site.
Dans AWS, vous pouvez implémenter une inspection des paquets avec état et sans état, en utilisant des technologies AWS natives ou des produits et services partenaires disponibles via AWS Marketplace. Vous devez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer un environnement privé, sécurisé et scalable dans lequel vous pouvez définir votre topologie, notamment les passerelles, les tables de routage et les sous-réseaux publics et privés.
Les questions suivantes sont axées sur ces quelques considérations liées à la sécurité.
| SEC 5 : Comment protéger vos ressources réseau ? |
| --- |
| Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau. |
| SEC 6 : Comment protéger vos ressources de calcul ? |
| --- |
| Les ressources de calcul de votre charge de travail nécessitent plusieurs couches de défense pour vous aider à vous protéger des menaces externes et internes. Les ressources de calcul incluent les instances EC2, les conteneurs, les fonctions AWS Lambda, les services de bases de données, les appareils IoT, etc. |
Plusieurs couches de défense sont conseillées dans tout type d'environnement. Dans le cas de la protection de l'infrastructure, la plupart des concepts et méthodes sont valides pour les modèles cloud et sur site. L'application d'une protection de la périphérie, la surveillance des points d'entrée et de sortie, la journalisation complète, la supervision et les alertes, sont toutes essentielles à un plan de sécurité de l'information efficace.
Les clients AWS peuvent adapter ou renforcer la configuration d'un conteneur Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Container Service (Amazon ECS) ou d'une instance AWS Elastic Beanstalk et conserver cette configuration sur une Amazon Machine Image (AMI) immuable. Puis, qu'ils soient déclenchés par Auto Scaling ou lancés manuellement, tous les nouveaux serveurs virtuels (instances) lancés avec cet AMI reçoivent la configuration renforcée.
# Protection des données
Avant de concevoir l'architecture d'un système, les pratiques de base qui influent sur la sécurité doivent être en place. Par exemple, la classification des données permet de classer les données organisationnelles en fonction des niveaux de sensibilité, et le chiffrement protège les données en les rendant incompréhensibles en cas d'accès non autorisé. Ces outils et techniques sont importants, car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires.
Dans AWS, les pratiques suivantes facilitent la protection des données :
+ En tant que client AWS, vous conservez la maîtrise totale de vos données.
+ AWS facilite le chiffrement de vos données et la gestion des clés, y compris la rotation régulière des clés, qui peut être facilement automatisée par AWS ou gérée par vous-même.
+ La journalisation détaillée qui contient des informations importantes, telles que l'accès aux fichiers et les modifications apportées, est disponible.
+ AWS a conçu des systèmes de stockage pour une résilience exceptionnelle. Par exemple, Amazon S3 Standard, S3 Standard – Accès peu fréquent, S3 unizone – Accès peu fréquent et Amazon Glacier sont tous conçus pour fournir une durabilité des objets de 99,999999999 % sur une période d'un an. Ce niveau de durabilité correspond à une perte moyenne annuelle de 0,000000001 % des objets.
+ La gestion des versions, qui peut faire partie d'un processus de gestion du cycle de vie des données plus étendu, assure une protection contre les remplacements ou suppressions accidentels et les dommages similaires.
+ AWS n'initie jamais de transfert de données entre les régions. Le contenu affecté à une région restera dans celle-ci, à moins que vous n'activiez explicitement une fonction ou que vous n'exploitiez un service qui fournit cette fonctionnalité.
Les questions suivantes sont axées sur ces quelques considérations liées à la sécurité.
| SEC 7 : Comment classer vos données ? |
| --- |
| La classification des données fournit un moyen de classer les données en fonction de leur importance et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés. |
| SEC 8 : Comment protéger les données au repos ? |
| --- |
| Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion. |
| SEC 9 : Comment protéger vos données en transit ? |
| --- |
| Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte. |
AWS fournit plusieurs moyens de chiffrement des données au repos et en transit. Nous intégrons à nos services des fonctionnalités qui facilitent le chiffrement de vos données. Par exemple, nous avons implémenté le chiffrement côté serveur (SSE) pour Amazon S3 afin de faciliter le stockage de vos données sous une forme chiffrée. Vous pouvez aussi prendre les dispositions nécessaires pour que la totalité du processus de chiffrement et de déchiffrement HTTPS (généralement appelé terminaison SSL) soit gérée par Elastic Load Balancing (ELB).
# Réponse aux incidents
Même avec des contrôles de détection et de prévention extrêmement matures, votre organisation doit toujours mettre en place des processus pour répondre et atténuer l'impact potentiel d'incidents de sécurité. L'architecture de votre charge de travail affecte fortement la capacité de vos équipes à fonctionner efficacement lors d'un incident, à isoler ou à contenir des systèmes et à restaurer les opérations dans un état correct connu. La mise en place des outils et de l'accès avant un incident de sécurité, puis la mise en pratique régulière de la réponse aux incidents pendant les journées de jeu, vous aideront à vous assurer que votre architecture peut prendre en charge des enquêtes et des restaurations rapides.
Dans AWS, les pratiques suivantes facilitent la gestion efficace face des incidents :
+ La journalisation détaillée qui contient des informations importantes, telles que l'accès aux fichiers et les modifications apportées, est disponible.
+ Les événements peuvent être traités automatiquement et déclencher des outils qui automatisent les réponses via l'utilisation d'API AWS.
+ Vous pouvez préprovisionner des outils et une « salle blanche » à l'aide de AWS CloudFormation. Cela vous permet d'effectuer des analyses dans un environnement sécurisé et isolé.
La question suivante est axée sur ces considérations relatives à la sécurité.
| SEC 10 : Comment anticiper les incidents, y répondre et reprendre les activités par la suite ? |
| --- |
| La préparation est essentielle pour une enquête rapide et efficace, une réponse et une reprise en cas d'incidents de sécurité, afin de minimiser les perturbations pour votre organisation. |
Assurez-vous de disposer d'un moyen permettant d'accorder rapidement l'accès à votre équipe de sécurité. Automatisez également l'isolation des instances ainsi que la saisie de données et l'état des analyses.
# Ressources
Consultez les ressources suivantes pour en savoir plus sur nos bonnes pratiques relatives à la sécurité.
## Documentation
+ [Sécurité du cloud AWS](https://aws.amazon.com/security/?ref=wellarchitected-wp)
+ [Conformité AWS](https://aws.amazon.com/compliance/?ref=wellarchitected-wp)
+ [Blog sur la sécurité AWS](http://blogs.aws.amazon.com/security/?ref=wellarchitected-wp)
## Livre blanc
+ [Pilier Sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp)
+ [Présentation de la sécurité sur AWS](https://d1.awsstatic.com/whitepapers/Security/AWS%20Security%20Whitepaper.pdf?ref=wellarchitected-wp)
+ [Risque et conformité AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_Whitepaper.pdf?ref=wellarchitected-wp)
## Vidéo
+ [AWS Security State of the Union](https://youtu.be/Wvyc-VEUOns?ref=wellarchitected-wp)
+ [Présentation de la responsabilité partagée](https://www.youtube.com/watch?v=U632-ND7dKQ&ref=wellarchitected-wp)