Recommandations en matière de contrôle de sécurité pour protéger les données

Le AWS Well-Architected Framework regroupe les meilleures pratiques en matière de protection des données en trois catégories : classification des données, protection des données au repos et protection des données en transit. Les contrôles de sécurité présentés dans cette section peuvent vous aider à mettre en œuvre les meilleures pratiques en matière de protection des données. Ces meilleures pratiques fondamentales doivent être mises en place avant de concevoir des charges de travail dans le cloud. Ils empêchent la mauvaise gestion des données et vous aident à respecter les obligations organisationnelles, réglementaires et de conformité. Utilisez les contrôles de sécurité décrits dans cette section pour mettre en œuvre les meilleures pratiques en matière de protection des données.

Identifier et classer les données au niveau de la charge de travail

La classification des données est un processus qui permet d'identifier et de catégoriser les données de votre réseau en fonction de leur sévérité et de leur sensibilité. Il s'agit d'un élément essentiel de toute stratégie de gestion des risques de cybersécurité, car il vous aide à déterminer les contrôles de protection et de conservation appropriés pour les données. La classification des données réduit souvent la fréquence de duplication des données. Cela permet de réduire les coûts de stockage et de sauvegarde et d'accélérer les recherches.

Nous vous recommandons de comprendre le type et la classification des données traitées par votre charge de travail, les processus métier associés, l'endroit où les données sont stockées et le propriétaire des données. La classification des données aide les responsables de la charge de travail à identifier les emplacements qui stockent des données sensibles et à déterminer comment ces données doivent être consultées et partagées. Les balises sont des paires clé-valeur qui servent de métadonnées pour organiser les AWS ressources. Les balises peuvent aider à gérer, identifier, organiser, rechercher et filtrer les ressources.

Pour plus d’informations, consultez les ressources suivantes :

• Classification des données dans les livres AWS blancs

• Identifiez les données incluses dans votre charge de travail dans le AWS Well-Architected Framework

Établissez des contrôles pour chaque niveau de classification des données

Définissez les contrôles de protection des données pour chaque niveau de classification. Par exemple, utilisez les contrôles recommandés pour sécuriser les données classées comme publiques et protégez les données sensibles à l'aide de contrôles supplémentaires. Utilisez des mécanismes et des outils qui réduisent ou éliminent le besoin d'accéder directement aux données ou de les traiter manuellement. L'automatisation de l'identification et de la classification des données réduit le risque d'erreur de classification, de mauvaise manipulation, de modification ou d'erreur humaine.

Par exemple, pensez à utiliser Amazon Macie pour scanner les compartiments Amazon Simple Storage Service (Amazon S3) afin de détecter des données sensibles, telles que des informations personnelles identifiables (PII). Vous pouvez également automatiser la détection des accès involontaires aux données en utilisant les journaux de flux VPC dans Amazon Virtual Private Cloud (Amazon VPC).

Pour plus d’informations, consultez les ressources suivantes :

• Définissez les contrôles de protection des données dans le AWS Well-Architected Framework

• Automatisez l'identification et la classification dans le AWS Well-Architected Framework

• AWS Architecture de référence en matière de confidentialité (AWS PRA) dans les directives AWS prescriptives

• Découvrir des données sensibles avec Amazon Macie dans la documentation Macie

• Journalisation du trafic IP à l'aide des journaux de flux VPC dans la documentation Amazon VPC

• Techniques courantes pour détecter les données PHI et PII Services AWSà l'aide du AWS blog for Industries

Chiffrer les données au repos

Les données au repos sont des données stationnaires sur votre réseau, telles que les données stockées. La mise en œuvre du chiffrement et de contrôles d'accès appropriés pour les données inactives contribue à réduire le risque d'accès non autorisé. Le chiffrement est un processus informatique qui transforme des données en texte clair, lisibles par l'homme, en texte chiffré. Vous avez besoin d'une clé de chiffrement pour rechiffrer le contenu en texte brut afin de pouvoir l'utiliser. Dans le AWS Cloud, vous pouvez utiliser AWS Key Management Service (AWS KMS) pour créer et contrôler des clés cryptographiques qui aident à protéger vos données.

Comme indiqué dansÉtablissez des contrôles pour chaque niveau de classification des données, nous vous recommandons de créer une politique qui précise le type de données à chiffrer. Incluez des critères permettant de déterminer quelles données doivent être cryptées et quelles données doivent être protégées par une autre technique, telle que la tokenisation ou le hachage.

Pour plus d’informations, consultez les ressources suivantes :

• Configuration du chiffrement par défaut dans la documentation Amazon S3

• Chiffrement par défaut pour les nouveaux volumes EBS et les copies instantanées dans la documentation Amazon EC2

• Chiffrement des ressources Amazon Aurora dans la documentation Amazon Aurora

• Présentation des détails cryptographiques de AWS KMS la documentation AWS KMS

• Création d'une stratégie de chiffrement d'entreprise pour les données inactives dans les directives AWS prescriptives

• Appliquez le chiffrement au repos dans le AWS Well-Architected Framework

• Pour plus d'informations sur le chiffrement en particulier Services AWS, consultez la AWS documentation de ce service

Chiffrer les données en transit

Les données en transit sont les données qui circulent activement sur votre réseau, par exemple entre les ressources du réseau. Chiffrez toutes les données en transit à l'aide de protocoles TLS sécurisés et de suites de chiffrement. Le trafic réseau entre les ressources et Internet doit être crypté afin d'empêcher tout accès non autorisé aux données. Dans la mesure du possible, utilisez le protocole TLS pour chiffrer le trafic réseau au sein de votre environnement interne AWS .

Pour plus d’informations, consultez les ressources suivantes :

• Exiger le protocole HTTPS pour la communication entre les utilisateurs et CloudFront dans la CloudFront documentation Amazon

• Documentation AWS PrivateLink

• Appliquez le chiffrement en transit dans le AWS Well-Architected Framework

• Pour plus d'informations sur le chiffrement en particulier Services AWS, consultez la AWS documentation de ce service

Bloquer l'accès public aux instantanés Amazon EBS

Amazon Elastic Block Store (Amazon EBS) fournit des volumes de stockage au niveau des blocs à utiliser avec les instances Amazon Elastic Compute Cloud (Amazon). EC2 Vous pouvez sauvegarder les données de vos volumes Amazon EBS sur Amazon S3 en prenant des point-in-time instantanés. Vous pouvez partager des instantanés publiquement avec d'autres personnes Comptes AWS, ou vous pouvez les partager en privé avec la personne Comptes AWS que vous spécifiez.

Nous vous recommandons de ne pas partager publiquement les instantanés Amazon EBS. Cela peut exposer des données sensibles par inadvertance. Lorsque vous partagez un instantané, vous permettez à d'autres personnes d'accéder aux données qu'il contient. Partagez des instantanés uniquement avec des personnes en qui vous avez confiance et qui disposent de toutes ces données.

Pour plus d’informations, consultez les ressources suivantes :

• Partagez un instantané dans la EC2 documentation Amazon

• Les instantanés Amazon EBS ne doivent pas être restaurables publiquement dans la documentation AWS Security Hub

• ebs-snapshot-public-restorable-consultez la documentation AWS Config

Bloquer l'accès public aux instantanés Amazon RDS

Amazon Relational Database Service (Amazon RDS) vous aide à configurer, exploiter et dimensionner une base de données relationnelle dans le. AWS Cloud Amazon RDS crée et enregistre des sauvegardes automatisées de votre instance de base de données (DB) ou de votre cluster de base de données multi-AZ pendant la fenêtre de sauvegarde de votre instance de base de données. Amazon RDS crée un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière et pas seulement les bases de données. Vous pouvez partager un instantané manuel dans le but de le copier ou de restaurer une instance de base de données à partir de celui-ci.

Si vous partagez un instantané en tant que public, assurez-vous qu'aucune des données qu'il contient n'est privée ou sensible. Lorsqu'un instantané est partagé publiquement, il donne à tous Comptes AWS les droits d'accès aux données. Cela peut entraîner une exposition involontaire des données de votre instance Amazon RDS.

Pour plus d’informations, consultez les ressources suivantes :

• Partage d'un instantané de base de données dans la documentation Amazon RDS

• rds-snapshots-public-prohibiteddans la AWS Config documentation

• L'instantané RDS doit être privé dans la documentation du Security Hub

Bloquez l'accès public à Amazon RDS, Amazon Redshift et aux ressources AWS DMS

Vous pouvez configurer les instances de base de données Amazon RDS, les clusters Amazon Redshift AWS Database Migration Service et AWS DMS() les instances de réplication pour qu'elles soient accessibles au public. Si la valeur du publiclyAccessible champ esttrue, ces ressources sont accessibles au public. Autoriser l'accès du public peut entraîner un trafic, une exposition ou des fuites de données inutiles. Nous vous recommandons de ne pas autoriser l'accès public à ces ressources.

Nous vous recommandons d'activer AWS Config les règles ou les contrôles Security Hub pour détecter si les instances de base de données Amazon RDS, les instances de AWS DMS réplication ou les clusters Amazon Redshift autorisent l'accès public.

Note

Les paramètres d'accès public pour les instances de AWS DMS réplication ne peuvent pas être modifiés une fois que l'instance a été provisionnée. Pour modifier le paramètre d'accès public, supprimez l'instance actuelle, puis recréez-la. Lorsque vous le recréez, ne sélectionnez pas l'option Accessible au public.

Pour plus d’informations, consultez les ressources suivantes :

• AWS DMS les instances de réplication ne doivent pas être publiques dans la documentation du Security Hub

• Les instances de base de données RDS doivent interdire l'accès public dans la documentation du Security Hub

• Les clusters Amazon Redshift devraient interdire l'accès public dans la documentation du Security Hub

• rds-instance-public-access-consultez la documentation AWS Config

• dms-replication-not-publicdans la AWS Config documentation

• redshift-cluster-public-access-consultez la documentation AWS Config

• Modification d'une instance de base de données Amazon RDS dans la documentation Amazon RDS

• Modification d'un cluster dans la documentation Amazon Redshift

Bloquer l'accès public aux compartiments Amazon S3

C'est une bonne pratique de sécurité d'Amazon S3 pour garantir que vos buckets ne sont pas accessibles au public. À moins que vous ne demandiez explicitement à quiconque sur Internet de lire ou d'écrire dans votre compartiment, assurez-vous que celui-ci n'est pas public. Cela permet de protéger l'intégrité et la sécurité des données. Vous pouvez utiliser AWS Config les règles et les contrôles du Security Hub pour vérifier que vos compartiments Amazon S3 sont conformes à ces bonnes pratiques.

Pour plus d’informations, consultez les ressources suivantes :

• Les meilleures pratiques de sécurité d'Amazon S3 dans la documentation Amazon S3

• Le paramètre S3 Block Public Access doit être activé dans la documentation du Security Hub

• Les compartiments S3 doivent interdire l'accès public en lecture dans la documentation du Security Hub

• Les compartiments S3 doivent interdire l'accès public en écriture dans la documentation du Security Hub

• bucket-public-read-prohibited règle s3- dans la AWS Config documentation

• s3- bucket-public-write-prohibited dans la AWS Config documentation

Exiger la MFA pour supprimer les données dans les compartiments Amazon S3 critiques

Lorsque vous travaillez avec la gestion des versions S3 dans des compartiments Simple Storage Service (Amazon S3), vous pouvez ajouter une couche de sécurité en activant la fonction MFA delete (Suppression de l’authentification multifacteur). Quand vous procédez ainsi, le propriétaire du compartiment doit inclure deux formes d’authentification dans toute demande pour supprimer une version ou modifier l’état de la gestion des versions du compartiment. Nous vous recommandons d'activer cette fonctionnalité pour les compartiments contenant des données essentielles pour votre organisation. Cela permet d'éviter les suppressions accidentelles de compartiments et de données.

Pour plus d’informations, consultez les ressources suivantes :

• Configuration de la suppression MFA dans la documentation Amazon S3

Configuration des domaines Amazon OpenSearch Service dans un VPC

Amazon OpenSearch Service est un service géré qui vous aide à déployer, à exploiter et à faire évoluer OpenSearch clusters dans le AWS Cloud. Amazon OpenSearch Service prend en charge OpenSearch et héritage Elasticsearch logiciel open source (OSS). Les domaines Amazon OpenSearch Service déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration améliore votre niveau de sécurité en limitant l'accès aux données en transit. Nous vous recommandons de ne pas associer de domaines Amazon OpenSearch Service à des sous-réseaux publics et de configurer le VPC conformément aux meilleures pratiques.

Pour plus d’informations, consultez les ressources suivantes :

• Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC dans la documentation Amazon OpenSearch Service

• opensearch-in-vpc-onlydans la AWS Config documentation

• OpenSearch les domaines doivent se trouver dans un VPC dans la documentation du Security Hub

Configurer les alertes de AWS KMS key suppression

AWS Key Management Service (AWS KMS) les clés ne peuvent pas être récupérées après leur suppression. Si une clé KMS est supprimée, les données toujours chiffrées sous cette clé sont définitivement irrécupérables. Si vous devez conserver l'accès aux données, avant de supprimer la clé, vous devez les déchiffrer ou les rechiffrer avec une nouvelle clé KMS. Vous devez supprimer une clé KMS seulement lorsque vous êtes sûr de ne plus avoir besoin de l'utiliser.

Nous vous recommandons de configurer une CloudWatch alarme Amazon qui vous avertira si quelqu'un initie la suppression d'une clé KMS. Comme il est destructeur et potentiellement dangereux de supprimer une clé KMS, AWS KMS vous devez définir une période d'attente et planifier la suppression dans un délai de 7 à 30 jours. Cela permet de revoir la suppression planifiée et de l'annuler, si nécessaire.

Pour plus d’informations, consultez les ressources suivantes :

• Planification et annulation de la suppression de clés dans la documentation AWS KMS

• Création d'une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression dans la AWS KMS documentation

• AWS KMS keys ne doit pas être supprimé par inadvertance dans la documentation du Security Hub

Bloquer l'accès public à AWS KMS keys

Les politiques clés constituent le principal moyen de contrôler l'accès à AWS KMS keys. Chaque clé KMS a exactement une politique de clé. L'autorisation d'un accès anonyme aux clés KMS peut entraîner une fuite de données sensibles. Nous vous recommandons d'identifier toutes les clés KMS accessibles au public et de mettre à jour leurs politiques d'accès afin d'empêcher les demandes non signées adressées à ces ressources.

Pour plus d’informations, consultez les ressources suivantes :

• Bonnes pratiques de sécurité AWS Key Management Service décrites dans la AWS KMS documentation

• Modification d'une politique clé dans la AWS KMS documentation

• Déterminer l'accès à AWS KMS keys dans la AWS KMS documentation

Configurer les écouteurs de l'équilibreur de charge pour utiliser des protocoles sécurisés

Elastic Load Balancing répartit automatiquement le trafic applicatif entrant sur plusieurs cibles. Vous configurez votre équilibreur de charge pour qu'il accepte le trafic entrant en spécifiant un ou plusieurs écouteurs. Un écouteur est un processus qui vérifie les demandes de connexion, en utilisant le protocole et le port que vous avez configurés. Chaque type d'équilibreur de charge prend en charge différents protocoles et ports :

• Les équilibreurs de charge d'application prennent les décisions de routage au niveau de la couche application et utilisent les protocoles HTTP ou HTTPS.

• Les équilibreurs de charge réseau prennent les décisions de routage au niveau de la couche transport et utilisent les protocoles TCP, TLS, UDP ou TCP_UDP.

• Les équilibreurs de charge classiques prennent les décisions de routage au niveau de la couche transport (en utilisant les protocoles TCP ou SSL) ou de la couche application (en utilisant les protocoles HTTP ou HTTPS).

Nous vous recommandons de toujours utiliser les protocoles HTTPS ou TLS. Ces protocoles garantissent que l'équilibreur de charge est responsable du chiffrement et du déchiffrement du trafic entre le client et la cible.

Pour plus d’informations, consultez les ressources suivantes :

• Écouteurs pour les équilibreurs de charge de vos applications dans la documentation Elastic Load Balancing

• Des écouteurs pour votre Classic Load Balancer dans la documentation d'Elastic Load Balancing

• Écouteurs pour vos équilibreurs de charge réseau dans la documentation Elastic Load Balancing

• Assurez-vous que les équilibreurs de AWS charge utilisent des protocoles d'écoute sécurisés dans AWS les directives prescriptives

• elb-tls-https-listeners-uniquement dans la documentation AWS Config

• Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS dans la documentation du Security Hub

• Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS dans la documentation Security Hub