Pilier de sécurité

La sécurité du cloud est la priorité absolue de AWS. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité. La sécurité est une responsabilité partagée entre vous et AWS. Le modèle de responsabilité partagée décrit cette notion par les termes sécurité du cloud et sécurité dans le cloud :

• Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui s'exécute Services AWS dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de la AWS sécurité dans le cadre des programmes de AWS conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Neptune, consultez la section AWS Services concernés par programme de conformité.

• Sécurité dans le cloud — Votre responsabilité est déterminée par Service AWS ce que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise, et la législation et la réglementation applicables. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQs. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de blog sur le RGPD.

Le pilier de sécurité du AWS Well-Architected Framework vous aide à comprendre comment appliquer le modèle de responsabilité partagée lorsque vous utilisez Neptune Analytics. Les rubriques suivantes expliquent comment configurer Neptune Analytics pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres outils Services AWS qui vous aident à surveiller et à sécuriser vos ressources Neptune Analytics. Le pilier de sécurité comprend les principaux domaines d'intérêt suivants :

• Sécurité des données

• Sécurité du réseau

• Authentification et autorisation

Mettre en œuvre la sécurité des données

Les fuites de données et les violations mettent vos clients en danger et peuvent avoir un impact négatif important sur votre entreprise. Les meilleures pratiques suivantes aident à protéger les données de vos clients contre toute exposition accidentelle ou malveillante :

• Les noms de graphes, les balises, les rôles IAM et les autres métadonnées ne doivent pas contenir d'informations confidentielles ou sensibles, car ces données peuvent apparaître dans les journaux de facturation ou de diagnostic.

• URIs ou les liens vers des serveurs externes stockés sous forme de données dans Neptune ne doivent pas contenir d'informations d'identification permettant de valider les demandes.

• Un graphe Neptune Analytics est chiffré au repos. Vous pouvez utiliser la clé par défaut ou une clé AWS Key Management Service (AWS KMS) de votre choix pour chiffrer le graphe. Vous pouvez également chiffrer les instantanés et les données exportés vers Amazon S3 lors de l'importation en masse. Vous pouvez supprimer le chiffrement une fois l'importation terminée.

• Lorsque vous utilisez le langage OpenCypher, appliquez les techniques de validation et de paramétrage des entrées appropriées pour empêcher l'injection de code SQL et d'autres formes d'attaques. Évitez de créer des requêtes qui utilisent la concaténation de chaînes avec des entrées fournies par l'utilisateur. Utilisez des requêtes paramétrées ou des instructions préparées pour transmettre en toute sécurité les paramètres d'entrée à la base de données de graphes. Pour plus d'informations, consultez la section Exemples de requêtes paramétrées OpenCypher dans la documentation Neptune.

Sécurisez vos réseaux

Vous pouvez activer un graphe Neptune Analytics pour la connectivité publique afin qu'il soit accessible depuis l'extérieur d'un cloud privé virtuel (VPC). Cette connectivité est désactivée par défaut. Le graphique nécessite une authentification IAM. L'appelant doit obtenir une identité et être autorisé à utiliser le graphique. Par exemple, pour exécuter une requête OpenCypher, l'appelant doit disposer d'autorisations de lecture, d'écriture ou de suppression sur le graphe spécifique.

Vous pouvez également créer des points de terminaison privés pour le graphe afin d'accéder au graphe depuis un VPC. Lorsque vous créez le point de terminaison, vous spécifiez le VPC, les sous-réseaux et les groupes de sécurité pour restreindre l'accès à l'appel du graphe.

Pour protéger vos données en transit, Neptune Analytics applique des connexions SSL via HTTPS au graphe. Pour plus d'informations, consultez la section Protection des données dans Neptune Analytics dans la documentation de Neptune Analytics.

Mettre en œuvre l'authentification et l'autorisation

Les appels à un graphe Neptune Analytics nécessitent une authentification IAM. L'appelant doit obtenir une identité et disposer des autorisations suffisantes pour effectuer l'action sur le graphique. Pour une description des actions d'API et de leurs autorisations requises, consultez la documentation de l'API Neptune Analytics. Vous pouvez appliquer des contrôles d'état pour restreindre l'accès par balise.

L'authentification IAM utilise le protocole AWS Signature Version 4 (SigV4). Pour simplifier l'utilisation depuis votre application, nous vous recommandons d'utiliser un AWS SDK. Par exemple, en Python, utilisez le client Boto3 pour Neptune Graph, qui extrait SigV4.

Lorsque vous chargez des données dans le graphique, le chargement par lots utilise les informations d'identification IAM de l'appelant. L'appelant doit être autorisé à télécharger des données depuis Amazon S3 avec la relation de confiance configurée afin que Neptune Analytics puisse assumer le rôle de charger les données dans le graphique à partir des fichiers Amazon S3.

L'importation en bloc peut être effectuée soit lors de la création du graphe (par l'équipe d'infrastructure), soit sur un graphique vide existant (par l'équipe d'ingénierie des données autorisée à démarrer des tâches d'importation). Dans les deux cas, Neptune Analytics assume le rôle IAM fourni par l'appelant en entrée. Ce rôle lui donne l'autorisation de lire et de répertorier le contenu du dossier Amazon S3 dans lequel les données d'entrée sont stockées.