View a markdown version of this page

Lancement de stations de travail d'analyse - Guide de réponse aux incidents de sécurité AWS
Types et emplacements d'instance

Lancement de stations de travail d'analyse

Certaines de vos activités de réponse aux incidents peuvent inclure l'analyse des images des disques, des systèmes de fichiers, des déchargements de RAM ou d'autres artefacts qui sont impliqués dans un incident. De nombreux clients créent un poste de travail d'analyse personnalisé qu'ils peuvent utiliser pour monter des copies de tous les volumes de données concernés (appelés instantanés EBS). Pour cela, suivez la procédure suivante :

  1. Choisissez une image Amazon Machine Image (AMI) de base (par exemple Linux ou Microsoft Windows) qui peut être utilisée comme station de travail d'analyse.

  2. Lancez une instance Amazon EC2 à partir de cette AMI de base.

  3. Renforcez le système d'exploitation, supprimez les packages logiciels inutiles et configurez les mécanismes d'audit et de journalisation appropriés.

  4. Installez votre suite préférée de boîtes à outils open source ou privées, ainsi que tous les logiciels et packages dont vous avez besoin.

  5. Arrêtez l'instance Amazon EC2 et créez une nouvelle AMI à partir de l'instance arrêtée.

  6. Créez un processus hebdomadaire ou mensuel pour mettre à jour et recréer l'AMI avec les derniers correctifs logiciels.

Une fois que le système d'analyse est configuré à l'aide d'une AMI, votre équipe de réponse aux incidents peut utiliser ce modèle pour créer une nouvelle AMI afin de lancer un nouveau poste de travail d'analyse pour chaque enquête. Le processus de lancement de l'AMI en tant qu'instance Amazon EC2 peut être préconfiguré pour simplifier le processus de déploiement. Par exemple, vous pouvez créer un modèle des ressources d'infrastructure d'analyse dont vous avez besoin dans un fichier texte et le déployer sur votre compte AWS à l'aide d'AWS CloudFormation.

Lorsque vos ressources sont disponibles pour être déployées rapidement à partir d'un modèle, vos experts formés à l'analyse peuvent utiliser de nouveaux postes de travail d'analyse pour chaque enquête, au lieu de réutiliser l'infrastructure. Grâce à ce processus, vous pouvez vous assurer qu'il n'y a pas de contamination croisée due à d'autres examens d'analyse.

Types et emplacements d'instance

Amazon EC2 fournit un vaste éventail de types d'instances optimisés pour différents cas d'utilisation. Ces types d'instance correspondent à différentes combinaisons en termes de capacités de CPU, de mémoire, de stockage et de mise en réseau. Vous pouvez ainsi choisir un ensemble de ressources parfaitement adapté à vos applications. De nombreux types d'instance incluent plusieurs tailles d'instance, ce qui vous permet de mettre à l'échelle vos ressources en fonction des besoins de votre charge de travail cible. Pour les instances de réponse aux incidents, suivez les politiques GRC de votre entreprise en matière de localisation et de segmentation à partir du réseau qui exécute les instances de production.

La mise en réseau améliorée AWS utilise la virtualisation d'I/O d'une racine unique (SR-IOV) pour fournir des fonctionnalités de mise en réseau hautes performances sur les types d'instance pris en charge. La méthode SR-IOV de virtualisation des appareils fournit de meilleures performances des E/S et une utilisation de la CPU réduite par rapport aux interfaces réseau virtualisées traditionnelles. La mise en réseau améliorée offre une bande passante supérieure, des performances de paquet par seconde (PPS) nettement plus élevées, ainsi que des latences réduites entre les instances. L'utilisation de la mise en réseau améliorée n'implique aucun coût supplémentaire. Pour de plus amples informations sur les types d'instance qui prennent en charge des vitesses réseau de 10 ou 25 Gbit/s et sur d'autres fonctionnalités avancées, veuillez consulter Types d'instance Amazon EC2.