View a markdown version of this page

SEC01-BP05 Réduire la portée de la gestion de la sécurité - AWS Well-Architected Framework
Directives d’implémentationRessources

SEC01-BP05 Réduire la portée de la gestion de la sécurité

Déterminez si vous pouvez réduire la portée de votre sécurité en utilisant des services AWS qui transfèrent la gestion de certains contrôles à AWS (services gérés). Ces services peuvent vous aider à réduire vos tâches de maintenance de sécurité, telles que le provisionnement de l’infrastructure, la configuration logicielle, l’application de correctifs ou les sauvegardes.

Résultat souhaité : vous tenez compte de la portée de votre gestion de la sécurité lors de la sélection des services AWS adaptés à votre charge de travail. Le coût des frais de gestion et des tâches de maintenance (le coût total de possession, ou TCO) est évalué par rapport au coût des services que vous sélectionnez, outre les autres considérations liées à Well-Architected. Vous intégrez la documentation de contrôle et de conformité AWS dans vos procédures d’évaluation et de vérification des contrôles.

Anti-modèles courants :

  • Déployer des charges de travail sans bien comprendre le modèle de responsabilité partagée pour les services que vous sélectionnez.

  • Héberger de bases de données et d’autres technologies sur des machines virtuelles sans avoir évalué un équivalent de service géré.

  • Ne pas inclure les tâches de gestion de la sécurité dans le coût total de possession des technologies d’hébergement sur les machines virtuelles par rapport aux options de services gérés.

Avantages de la mise en place de cette bonne pratique : l’utilisation de services gérés peut vous permettre de réduire la charge globale liée à la gestion des contrôles de sécurité opérationnels, ce qui peut réduire vos risques de sécurité et votre coût total de possession. Le temps qui serait autrement consacré à certaines tâches de sécurité peut être réinvesti dans des tâches qui apportent plus de valeur à votre entreprise. Les services gérés peuvent également réduire la portée de vos exigences de conformité en transférant certaines exigences de contrôle à AWS.

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : moyen

Directives d’implémentation

Vous pouvez intégrer les composants de votre charge de travail sur AWS de plusieurs manières. L’installation et l’exécution de technologies sur des instances Amazon EC2 vous obligent souvent à assumer la plus grande part de la responsabilité globale en matière de sécurité. Pour réduire la charge liée à l’utilisation de certains contrôles, identifiez les services gérés par AWS qui réduisent la portée de votre côté du modèle de responsabilité partagée et comprenez comment vous pouvez les utiliser dans votre architecture existante. Vous pouvez par exemple utiliser Amazon Relational Database Service (Amazon RDS) pour déployer les bases de données, Amazon Elastic Kubernetes Service (Amazon EKS) ou Amazon Elastic Container Service (Amazon ECS) pour orchestrer les conteneurs, ou encore utiliser des options sans serveur. Lorsque vous créez de nouvelles applications, réfléchissez aux services qui peuvent vous aider à réduire les délais et les coûts liés à la mise en œuvre et à la gestion des contrôles de sécurité.

Les exigences de conformité peuvent également entrer en ligne de compte lors de la sélection des services. Les services gérés peuvent transférer la conformité de certaines exigences vers AWS. Discutez avec votre équipe de conformité de son degré d’aisance avec l’audit des aspects des services que vous utilisez et gérez, et avec l’acceptation des déclarations de contrôle dans les rapports d’audit AWS pertinents. Vous pouvez fournir les artefacts d’audit trouvés dans AWS Artifact à vos auditeurs ou régulateurs à titre de preuve des contrôles de sécurité AWS. Vous pouvez également utiliser les conseils en matière de responsabilité fournis par certains artefacts d’audit AWS afin de concevoir votre architecture, ainsi que les guides de conformité pour les clients AWS. Ces conseils aident à déterminer les contrôles de sécurité supplémentaires à mettre en place afin de prendre en charge les cas d’utilisation spécifiques de votre système.

Lorsque vous utilisez des services gérés, familiarisez-vous avec le processus de mise à jour de leurs ressources vers les nouvelles versions (par exemple, mise à jour de la version d’une base de données gérée par Amazon RDS ou d’un langage de programmation exécutable pour une fonction AWS Lambda). Bien que le service géré puisse effectuer cette opération pour vous, il vous incombe de configurer le calendrier de la mise à jour et de comprendre son impact sur vos opérations. Des outils tels qu’AWS Health peuvent vous aider à suivre et à gérer ces mises à jour dans tous vos environnements.

Étapes d’implémentation

  1. Évaluez les composants de votre charge de travail qui peuvent être remplacés par un service géré.

    1. Si vous migrez une charge de travail vers AWS, tenez compte de la réduction de la gestion (temps et dépenses) et de la réduction des risques lorsque vous déterminez si vous devez réhéberger, refactoriser, replateformer ou remplacer votre charge de travail. Dans certains cas, des investissements supplémentaires au début d’une migration peuvent permettre de réaliser des économies importantes à long terme.

  2. Envisagez de mettre en œuvre des services gérés, comme Amazon RDS, au lieu d’installer et de gérer vos propres déploiements technologiques.

  3. Utilisez le conseils de responsabilité dans AWS Artifact afin de vous aider à déterminer quels contrôles de sécurité doivent être mis en place pour votre charge de travail.

  4. Tenez un inventaire des ressources utilisées et restez au courant des nouveaux services et approches afin d’identifier de nouvelles opportunités de réduction de la portée.

Ressources

Bonnes pratiques associées :

Documents connexes :

Outils associés :

Vidéos connexes :