Réinterpréter les huit stratégies essentielles pour le cloud

Voici les stratégies d'atténuation originales d'Essential Eight conçues pour les réseaux connectés Microsoft à Internet :

• Contrôle des applications

• Applications de correctifs

• Configurer les paramètres des Microsoft Office macros

• Durcissement des applications utilisateur

• Restreindre les privilèges administratifs

• Corrigez les systèmes d'exploitation

• Multi-factor Authentication

• Sauvegardes régulières

Il est important de rappeler que le framework Essential Eight n'est pas conçu pour les environnements cloud. Cependant, les principes sous-jacents sont applicables et il existe un chevauchement entre les stratégies Essential Eight et les meilleures pratiques du AWS Well-Architected Framework.

Diverses approches natives du cloud peuvent améliorer la sécurité et réduire considérablement votre charge de conformité. Dans les environnements sur site, vous êtes responsable de tous les aspects de la sécurité, et aucun contrôle n'est hérité. Lors de l'exécution de charges de travail dans le cloud, AWS est responsable de la protection de l'infrastructure qui gère nos services. Vous pouvez également réduire votre charge de conformité en utilisant l'automatisation et les services gérés. Les services gérés, également appelés services abstraits, concernent la couche Services AWS d'infrastructure AWS , le système d'exploitation et les plateformes, et vous accédez aux points de terminaison pour stocker et récupérer des données. Amazon Simple Storage Service (Amazon S3) et Amazon DynamoDB sont des exemples de services gérés. Pour plus d'informations, consultez la Thème 1 : Utiliser les services gérés section de ce guide.

Par conséquent, une certaine réinterprétation est nécessaire pour adapter les stratégies Essential Eight aux charges de travail. AWS Ce guide convertit les huit stratégies Essential Eight en AWS thèmes.

Utilisation des thèmes

Ce guide est divisé en huit thèmes. Chaque stratégie Essential Eight est associée à un ou plusieurs des thèmes suivants, et chaque thème est associé à une ou plusieurs meilleures pratiques du Well-Architected AWS Framework :

• Thème 1 : Utiliser les services gérés

• Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés

• Thème 3 : Gérer une infrastructure mutable grâce à l'automatisation

• Thème 4 : Gérer les identités

• Thème 5 : Établir un périmètre de données

• Thème 6 : Automatiser les sauvegardes

• Thème 7 : Centralisation de la journalisation et de la surveillance

• Thème 8 : Mettre en œuvre des mécanismes pour les processus manuels

Chaque thème inclut une présentation du sujet, les meilleures pratiques associées au AWS Well-Architected Framework et des instructions sur la manière d'atteindre la maturité d'Essential Eight et de contrôler la conformité. Les instructions fournissent des étapes manuelles ou vous aident à configurer les automatisations à l'aide de AWS Config règles. Les étapes manuelles nécessitent des mécanismes pour s'assurer que les résultats sont pris en compte. Pour plus d'informations, consultezThème 8 : Mettre en œuvre des mécanismes pour les processus manuels. AWS Config les règles nécessitent une supervision ou une automatisation similaires afin de remédier aux ressources non conformes. En suivant les conseils correspondant à ces thèmes, vous pouvez atteindre la maturité d'Essential Eight grâce à une approche qui maximise également les avantages du cloud.

Réinterpréter les huit stratégies essentielles pour le cloud

Le framework Essential Eight n'étant pas conçu pour les environnements cloud, il est essentiel d'adopter une approche cloud native pour aborder les principes sous-jacents de chaque stratégie Essential Eight. L'approche varie en fonction de deux questions clés.

Quels sont les services que vous utilisez ?

Ils AWS modèle de responsabilité partagée peuvent vous aider à alléger vos charges opérationnelles et de conformité. Les services gérés transfèrent une plus grande AWS part de la responsabilité du maintien de la disponibilité, des performances et de l'optimisation de la sécurité du service déployé. Les services gérés suppriment également le fardeau opérationnel et administratif lié à la maintenance d'un service, ce qui permet de consacrer plus de temps à l'innovation.

Les services gérés incluent les services sans serveur, tels qu'Amazon API Gateway et AWS LambdaDynamoDB. Une base de données sur Amazon Relational Database Service (Amazon RDS) nécessite moins de responsabilités opérationnelles qu'une base de données sur Amazon Elastic Compute Cloud (Amazon EC2).

Par exemple, si vous adaptez la stratégie Essential Eight des systèmes d'exploitation Patch au cloud, vous devez déterminer quels services vous utilisez et déterminer si vous êtes responsable de l'application des correctifs à ces ressources. AWS est responsable de l'application des correctifs aux services entièrement gérés, tels que Lambda et DynamoDB. Pour d'autres services, tels qu'Amazon RDS ou Amazon Redshift, vous devrez peut-être gérer les correctifs pendant les fenêtres de maintenance.

Quel modèle de déploiement utilisez-vous ?

Votre organisation utilise-t-elle une approche d'infrastructure mutable ou immuable ?

Le modèle d'infrastructure mutable met à jour et modifie l'infrastructure existante pour les charges de travail de production. Il s'agissait de la méthode de déploiement standard avant le cloud, lorsque le remplacement de l'infrastructure de serveurs était si coûteux et chronophage que l'approche la plus pratique consistait à appliquer des modifications aux serveurs déjà en production. Un exemple d'approche mutable dans le cloud consiste à déployer des modifications d'application directement sur les EC2 instances en cours d'exécution, soit manuellement, soit à l'aide d'un service de déploiement de logiciels, tel que AWS Systems Manager Run Command ou AWS CodeDeploy.

Le modèle d'infrastructure immuable déploie une nouvelle infrastructure pour les charges de travail de production au lieu de mettre à jour, d'appliquer des correctifs ou de modifier l'infrastructure existante. La définition d'une pile d'applications dans AWS CloudFormationou AWS Cloud Development Kit (AWS CDK)est un exemple d'approche immuable. Vous pouvez utiliser ces services pour déployer une pile d'applications par le biais de pipelines d'intégration continue et de livraison continue (CI/CD). Cette approche utilise des méthodes de déploiement telles que le roulement ou le bleu/vert. Pour plus d'informations sur cette approche, consultez les meilleures pratiques relatives au déploiement à l'aide d'une infrastructure immuable dans le AWS Well-Architected Framework.

Par exemple, si vous adaptez la stratégie Essential Eight des systèmes d'exploitation Patch au cloud, vous devez réfléchir à la manière dont les correctifs s'appliquent au modèle de déploiement. Dans le cas d'une infrastructure mutable, vous pouvez appliquer des correctifs manuels aux ressources ou améliorer l'efficacité opérationnelle grâce à l'automatisation. Si vous utilisez une infrastructure immuable, vous devez utiliser un CI/CD pipeline pour déployer une nouvelle infrastructure avec la dernière version du système d'exploitation. En fait, le terme « patching » n'est pas approprié dans ce modèle, car l'infrastructure serait remplacée plutôt que corrigée.