SEC06-BP05 Automatiser la protection du calcul

Automatisez les opérations de protection informatique afin de réduire le besoin d’intervention humaine. Utilisez l’analyse automatique pour détecter les problèmes potentiels au sein de vos ressources informatiques et y remédier grâce à des réponses programmatiques automatisées ou à des opérations de gestion de flotte. Intégrez l’automatisation à vos processus CI/CD pour déployer des charges de travail fiables avec des dépendances à jour.

Résultat escompté : les systèmes automatisés effectuent toutes les analyses et tous les correctifs des ressources informatiques. Vous utilisez la vérification automatique pour vérifier que les images logicielles et les dépendances proviennent de sources fiables et qu’elles n’ont pas été falsifiées. Les charges de travail sont automatiquement vérifiées pour détecter les dépendances à jour et sont signées pour garantir la fiabilité des environnements informatiques AWS. Des mesures correctives automatisées sont lancées lorsque des ressources non conformes sont détectées.

Anti-modèles courants :

Suivre la pratique d’une infrastructure immuable, mais ne pas avoir de solution en place pour l’application de correctifs d’urgence ou le remplacement des systèmes de production.
Utiliser l’automatisation pour corriger les ressources mal configurées, mais ne pas mettre en place de mécanisme de remplacement manuel. Dans certains cas, vous devrez ajuster les exigences et suspendre les automatisations jusqu’à ce que vous apportiez ces modifications.

Avantages du respect de cette bonne pratique : l’automatisation peut réduire le risque d’accès et d’utilisation non autorisés de vos ressources informatiques. Elle contribue à éviter que les erreurs de configuration soient transférées dans les environnements de production, et à détecter et corriger ces erreurs le cas échéant. L’automatisation facilite également la détection des accès et utilisations non autorisés des ressources de calcul afin de réduire le temps de réponse. Vous pouvez ainsi réduire la portée globale de l’impact du problème.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Vous pouvez appliquer les automatisations décrites dans les pratiques du pilier de sécurité pour protéger vos ressources de calcul. SEC06-BP01 Gérer les failles décrit comment vous pouvez utiliser Amazon Inspector dans vos pipelines CI/CD et pour analyser en permanence vos environnements d’exécution à la recherche de vulnérabilités et d’expositions courantes (CVE) connues. Vous pouvez utiliser AWS Systems Manager pour appliquer des correctifs ou effectuer des redéploiements à partir d’images récentes via des runbooks automatisés afin de maintenir votre flotte informatique à jour avec les derniers logiciels et bibliothèques. Utilisez ces techniques pour limiter la nécessité de mettre en place des processus manuels et des accès interactifs à vos ressources de calcul. Pour en savoir plus, consultez SEC06-BP03 Réduire la gestion manuelle et l’accès interactif.

L’automatisation joue également un rôle dans le déploiement de charges de travail fiables, comme décrit dans SEC06-BP02 Provisionner le calcul à partir d’images renforcées et SEC06-BP04 Valider l’intégrité du logiciel. Vous pouvez utiliser des services tels qu’EC2 Image Builder, AWS Signer, AWS CodeArtifact et Amazon Elastic Container Registry (ECR) pour télécharger, vérifier, construire et stocker des images et des dépendances de code renforcées et approuvées. Outre Inspector, chacun d’entre eux peut jouer un rôle dans votre processus CI/CD, de sorte que votre charge de travail n’est mise en production qu’après confirmation que ses dépendances sont à jour et proviennent de sources fiables. Votre charge de travail est également signée afin que les environnements informatiques AWS tels que AWS Lambda et Amazon Elastic Kubernetes Service (EKS) puissent vérifier qu’elle n’a pas été falsifiée avant de l’autoriser à s’exécuter.

Au-delà de ces contrôles préventifs, vous pouvez également utiliser l’automatisation dans vos contrôles de détection pour vos ressources de calcul. À titre d’exemple, AWS Security Hub CSPM offre la norme NIST 800-53 Rev. 5 qui inclut des contrôles tels que [EC2.8] Les instances EC2 doivent utiliser Instance Metadata Service Version 2 (IMDSv2). IMDSv2 utilise les techniques d’authentification de session, de blocage des requêtes contenant un en-tête HTTP X-Forwarded-For et un TTL réseau 1 pour arrêter le trafic provenant de sources externes afin de récupérer des informations sur l’instance EC2. Cette vérification dans Security Hub CSPM permet de détecter quand les instances EC2 utilisent IMDSv1 et de lancer une correction automatique. Apprenez-en plus sur la détection et les corrections automatisées dans SEC04-BP04 Initier la correction des ressources non conformes.

Étapes d’implémentation

Automatisez la création d’AMI sécurisées, conformes et renforcées avec EC2 Image Builder. Vous pouvez produire des images qui intègrent des contrôles issus des références du Center for Internet Security (CIS) ou des normes du Security Technical Implementation Guide (STIG) à partir des images de base d’AWS et des partenaires APN.
Automatisez la gestion de la configuration. Appliquez et validez des configurations sécurisées dans vos ressources de calcul automatiquement à l’aide d’un service ou d’un outil de gestion de la configuration.
1. Gestion de configuration automatisée à l’aide de AWS Config
2. Gestion automatisée de la posture de sécurité et de conformité à l’aide de AWS Security Hub CSPM
Automatisez l’application des correctifs ou le remplacement des instances Amazon Elastic Compute Cloud (Amazon EC2). AWS Le gestionnaire de correctifs Systems Manager automatise le processus d’application des correctifs aux instances gérées avec des types de mises à jour liés à la sécurité et d’autres types. Vous pouvez utiliser le Gestionnaire de correctifs pour appliquer des correctifs pour les systèmes d’exploitation et les applications.
1. Gestionnaire de correctifs d’AWS Systems Manager
Automatisez l’analyse des ressources de calcul pour détecter les vulnérabilités et risques communs (CVE), et intégrez des solutions d’analyse de sécurité à votre pipeline de création.
1. Amazon Inspector
2. Analyse d’image ECR
Pensez à Amazon GuardDuty pour la détection automatique des malwares et des menaces afin de protéger les ressources informatiques. GuardDuty peut également identifier les problèmes potentiels lorsqu’une fonction AWS Lambda est invoquée dans votre environnement AWS.
1. Amazon GuardDuty
Envisagez les solutions des Partenaires AWS. AWS Les Partenaires proposent des produits leaders du secteur qui sont équivalents, identiques ou s’intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
1. Sécurité de l’infrastructure

Ressources

Bonnes pratiques associées :

SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard

Documents connexes :

Profiter de tous les avantages d’IMDSv2 et désactiver IMDSv1 sur l’ensemble de votre infrastructure AWS

Vidéos connexes :

Security best practices for the Amazon EC2 instance metadata service

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC06-BP04 Valider l'intégrité du logiciel

Protection des données