Contrôles proactifs - AWS Conseils prescriptifs
ObjectifsProcessusCas d’utilisationTechnologieRésultats métier

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles proactifs

Les contrôles proactifs sont des contrôles de sécurité visant à empêcher la création de ressources non conformes. Ces contrôles peuvent réduire le nombre d’événements de sécurité gérés par des contrôles réactifs et de détection. Ces contrôles garantissent la conformité des ressources déployées avant leur déploiement. Par conséquent, aucun événement de détection ne nécessite une réponse ou une correction.

Par exemple, vous pouvez avoir mis en place un contrôle de détection qui vous avertit si un compartiment Amazon Simple Storage Service (Amazon S3) devient accessible au public. Vous pouvez également disposer d’un contrôle réactif qui y apporte une solution. Bien que vous ayez déjà mis en place ces deux contrôles, vous pouvez ajouter une couche de protection supplémentaire en introduisant un contrôle proactif. Grâce à AWS CloudFormation ce contrôle proactif, vous pouvez empêcher la création ou la mise à jour de tout compartiment S3 dont l'accès public est activé. Les acteurs de la menace pourraient toujours contourner ce contrôle et déployer ou modifier des ressources en dehors de CloudFormation. Dans ce cas, les contrôles de détection et réactifs corrigeraient l’événement de sécurité.

Examinez les points suivants concernant ce type de contrôle :

Objectifs

  • Les contrôles proactifs vous aident à améliorer les opérations de sécurité et les processus de qualité.

  • Les contrôles proactifs peuvent vous aider à respecter les politiques de sécurité, les normes et les obligations réglementaires ou de conformité.

  • Les contrôles proactifs peuvent empêcher la création de ressources non conformes.

  • Les contrôles proactifs peuvent réduire le nombre de résultats de sécurité.

  • Les contrôles proactifs fournissent une couche de protection supplémentaire contre les acteurs malveillants qui contournent les contrôles préventifs et qui tentent de déployer des ressources non conformes.

  • Associés à des contrôles préventifs, de détection et réactifs, les contrôles proactifs peuvent vous aider à faire face aux incidents de sécurité potentiels.

Processus

Les contrôles proactifs complètent les contrôles préventifs. Les contrôles proactifs réduisent les risques de sécurité de votre organisation et appliquent le déploiement de ressources conformes. Ces contrôles évaluent la conformité des ressources avant leur création ou leur mise à jour. Les contrôles proactifs sont généralement mis en œuvre à l'aide de CloudFormation crochets. Si la ressource échoue à la validation du contrôle proactif, vous pouvez choisir de mettre en échec le déploiement de la ressource ou d’afficher un message d’avertissement. Voici quelques conseils et bonnes pratiques pour créer des contrôles proactifs :

  • Assurez-vous que les contrôles proactifs sont mappés aux exigences de conformité de votre organisation.

  • Assurez-vous que les contrôles proactifs respectent les bonnes pratiques de sécurité pour le service associé.

  • Utilisez CloudFormation StackSets une autre solution pour déployer des contrôles proactifs sur plusieurs Régions AWS comptes.

  • Assurez-vous que le message d’avertissement ou d’échec associé à un contrôle proactif est suffisamment clair et explicite. Cela permet aux développeurs de comprendre pourquoi la ressource n’a pas satisfait à l’évaluation.

  • Lorsque vous créez des contrôles proactifs, commencez en mode observation. Cela signifie que vous envoyez un message d’avertissement au lieu de mettre en échec le déploiement des ressources. Vous pouvez ainsi mieux comprendre l’impact d’un contrôle proactif.

  • Activez la connexion à Amazon CloudWatch Logs pour des contrôles proactifs.

  • Si vous devez surveiller l'invocation d'un contrôle proactif spécifique, utilisez une EventBridge règle Amazon et abonnez-vous aux événements d'invocation pour le CloudFormation hook.

Cas d’utilisation

  • Prévention du déploiement de ressources non conformes

  • Respect des exigences en matière de conformité

  • Amélioration de la qualité du code en appliquant la résolution d’un problème de sécurité avant le déploiement

  • Réduction des interruptions de service associées à la résolution des problèmes de sécurité après le déploiement

Technologie

CloudFormation crochets

AWS CloudFormationvous aide à configurer les AWS ressources, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie dans toutes Comptes AWS les régions. CloudFormation les hooks évaluent de manière proactive la configuration de vos CloudFormation ressources avant leur déploiement. Si des ressources non conformes sont détectées, ils renvoient un état d’échec. En fonction du mode de défaillance du hook, l'opération CloudFormation peut échouer ou présenter un avertissement permettant à l'utilisateur de poursuivre le déploiement. Vous pouvez utiliser les hooks disponibles ou développer les vôtres.

AWS Control Tower

AWS Control Towervous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives. AWS Control Tower propose des commandes proactives préconfigurées que vous pouvez activer dans votre zone d'atterrissage. Si votre zone de landing zone est configurée à l'aide de ces contrôles proactifs optionnels AWS Control Tower, vous pouvez utiliser ces contrôles proactifs optionnels comme point de départ pour votre organisation. Vous pouvez intégrer des contrôles proactifs personnalisés supplémentaires CloudFormation selon vos besoins.

Résultats métier

Moins d'efforts humains et d'erreurs humaines

Les contrôles proactifs réduisent le risque d’erreur humaine qui entraîne le déploiement de ressources non conformes. Ils réduisent également l’effort humain plus loin dans le cycle de développement, car ils obligent les développeurs à prendre en compte la sécurité des ressources avant le déploiement. Cela applique la pratique du décalage gauche à la création de ressources sécurisées, en imposant la conformité plus tôt dans le cycle de vie du développement.

Réduction des coûts

Il est généralement plus coûteux de corriger un problème de sécurité après le déploiement. L’identification et la résolution des problèmes plus tôt dans le cycle de développement réduisent les coûts de développement.

Gains de temps

Dans la mesure où les contrôles proactifs empêchent le déploiement de ressources non conformes, ils réduisent le temps que vous passez à trier et à corriger les problèmes de sécurité. Ils indiquent également le nombre de résultats de sécurité, que les contrôles de détection identifieraient plus tard dans le cycle de développement.

Conformité aux réglementations

Si votre organisation doit se conformer à des réglementations internes ou sectorielles, des contrôles proactifs peuvent vous aider à assurer votre conformité et à éviter les sanctions en cas de violation.

Réduction des risques

Les contrôles proactifs aident les développeurs à déployer des ressources conformes et plus sécurisées, de manière à réduire les risques de sécurité de votre organisation.