Fondements de sécurité - AWS Conseils prescriptifs
Capacités de sécuritéPrincipes de conception de la sécuritéComment utiliser l'AWS SRA avec AWS CAF et AWS Well-Architected Framework

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fondements de sécurité

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

L'architecture de référence de sécurité AWS repose sur trois fondements de sécurité AWS : le cadre d'adoption du cloud AWS (AWS CAF), le cadre AWS Well-Architected et le modèle de responsabilité partagée AWS.

AWS Professional Services a créé AWS CAF pour aider les entreprises à concevoir et à suivre une voie accélérée vers une adoption réussie du cloud. Les conseils et les meilleures pratiques fournis par le framework vous aident à élaborer une approche globale du cloud computing au sein de votre entreprise et tout au long de votre cycle de vie informatique. L'AWS CAF organise les directives en six domaines d'intérêt, appelés perspectives. Chaque point de vue couvre des responsabilités distinctes détenues ou gérées par des parties prenantes liées sur le plan fonctionnel. En général, les perspectives commerciales, humaines et de gouvernance se concentrent sur les capacités commerciales, tandis que les perspectives liées à la plate-forme, à la sécurité et aux opérations se concentrent sur les capacités techniques.

  • La perspective de sécurité de l'AWS CAF vous aide à structurer la sélection et la mise en œuvre des contrôles au sein de votre entreprise. Le respect des recommandations actuelles d'AWS dans le pilier de sécurité peut vous aider à répondre à vos exigences commerciales et réglementaires. 

AWS Well-Architected Framework aide les architectes du cloud à créer une infrastructure sécurisée, performante, résiliente et efficace pour leurs applications et leurs charges de travail. Le framework repose sur six piliers (excellence opérationnelle, sécurité, fiabilité, efficacité des performances, optimisation des coûts et durabilité) et fournit une approche cohérente aux clients et partenaires AWS afin d'évaluer les architectures et de mettre en œuvre des conceptions évolutives dans le temps. Nous pensons qu'une bonne architecture des charges de travail augmente considérablement les chances de réussite de l'entreprise.

  • Le pilier de sécurité Well-Architected Framework décrit comment tirer parti des technologies cloud pour protéger les données, les systèmes et les actifs de manière à améliorer votre posture de sécurité. Cela vous aidera à répondre à vos exigences commerciales et réglementaires en suivant les recommandations actuelles d'AWS. Il existe d'autres domaines d'intérêt du Well-Architected Framework qui fournissent plus de contexte pour des domaines spécifiques tels que la gouvernance, le sans serveur, l'IA/ML et les jeux vidéo. Ces objectifs sont connus sous le nom d'objectifs AWS Well-Architected

La sécurité et la conformité sont une responsabilité partagée entre AWS et le client. Ce modèle partagé peut vous aider à alléger votre charge opérationnelle car AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles le service fonctionne. Par exemple, vous assumez la responsabilité et la gestion du système d'exploitation client (y compris les mises à jour et les correctifs de sécurité), du logiciel d'application, du chiffrement des données côté serveur, des tables de routage du trafic réseau et de la configuration du pare-feu de groupe de sécurité fourni par AWS. Pour les services abstraits tels qu'Amazon Simple Storage Service (Amazon S3) et Amazon DynamoDB, AWS gère la couche d'infrastructure, le système d'exploitation et les plateformes, et vous accédez aux points de terminaison pour stocker et récupérer les données. Vous êtes responsable de la gestion de vos données (y compris les options de chiffrement), de la classification de vos actifs et de l'utilisation des outils AWS Identity and Access Management (IAM) pour appliquer les autorisations appropriées. Ce modèle partagé est souvent décrit en disant qu'AWS est responsable de la sécurité du cloud (c'est-à-dire de la protection de l'infrastructure qui exécute tous les services proposés dans le cloud AWS) et que vous êtes responsable de la sécurité dans le cloud (telle que déterminée par les services cloud AWS que vous sélectionnez). 

Dans le cadre des directives fournies par ces documents fondamentaux, deux ensembles de concepts sont particulièrement pertinents pour la conception et la compréhension de l'AWS SRA : les fonctionnalités de sécurité et les principes de conception de sécurité.

Capacités de sécurité

Le point de vue de la sécurité d'AWS CAF décrit neuf fonctionnalités qui vous aident à garantir la confidentialité, l'intégrité et la disponibilité de vos données et de vos charges de travail dans le cloud.

  • Gouvernance de la sécurité pour développer et communiquer les rôles, les responsabilités, les politiques, les processus et les procédures de sécurité dans l'environnement AWS de votre organisation.

  • Assurance de sécurité pour surveiller, évaluer, gérer et améliorer l'efficacité de vos programmes de sécurité et de confidentialité.

  • Gestion des identités et des accès pour gérer les identités et les autorisations à grande échelle.

  • Détection des menaces pour comprendre et identifier les erreurs de configuration, les menaces ou les comportements inattendus potentiels en matière de sécurité.

  • Gestion des vulnérabilités pour identifier, classer, corriger et atténuer en permanence les vulnérabilités de sécurité.

  • Protection de l'infrastructure pour vérifier que les systèmes et les services de vos charges de travail sont protégés.

  • Protection des données pour maintenir la visibilité et le contrôle des données, ainsi que de la manière dont elles sont consultées et utilisées dans votre organisation.

  • Sécurité des applications pour aider à détecter et à corriger les failles de sécurité au cours du processus de développement logiciel.

  • Réponse aux incidents pour réduire les dommages potentiels en répondant efficacement aux incidents de sécurité.

Principes de conception de la sécurité

Le pilier de sécurité du Well-Architected Framework comprend un ensemble de sept principes de conception qui transforment des domaines de sécurité spécifiques en conseils pratiques pouvant vous aider à renforcer la sécurité de votre charge de travail. Lorsque les capacités de sécurité encadrent la stratégie de sécurité globale, ces principes de Well-Architected Framework décrivent ce que vous pouvez commencer à faire. Ils sont reflétés de manière très délibérée dans cette AWS SRA et se composent des éléments suivants :

  • Mettez en œuvre une base d'identité solide : mettez en œuvre le principe du moindre privilège et appliquez la séparation des tâches avec les autorisations appropriées pour chaque interaction avec vos ressources AWS. Centralisez la gestion des identités et visez à éliminer le recours aux informations d'identification statiques à long terme.

  • Activez la traçabilité : surveillez, générez des alertes et auditez les actions et les modifications apportées à votre environnement en temps réel. Intégrez la collecte de journaux et de métriques aux systèmes pour enquêter et prendre des mesures automatiquement.

  • Appliquez la sécurité à tous les niveaux : appliquez une defense-in-depth approche comportant plusieurs contrôles de sécurité. Appliquez plusieurs types de contrôles (par exemple, des contrôles préventifs et de détection) à toutes les couches, y compris la périphérie du réseau, le cloud privé virtuel (VPC), l'équilibrage de charge, les services d'instance et de calcul, le système d'exploitation, la configuration des applications et le code.

  • Automatisez les meilleures pratiques de sécurité — Les mécanismes de sécurité automatisés basés sur des logiciels améliorent votre capacité à évoluer en toute sécurité, plus rapidement et de manière plus rentable. Créez des architectures sécurisées et implémentez des contrôles définis et gérés sous forme de code dans des modèles contrôlés par version.

  • Protégez les données en transit et au repos : classez vos données par niveaux de sensibilité et utilisez des mécanismes tels que le chiffrement, la tokenisation et le contrôle d'accès, le cas échéant.

  • Éloignez les utilisateurs des données : utilisez des mécanismes et des outils pour réduire ou éliminer le besoin d'accéder directement aux données ou de les traiter manuellement. Cela réduit le risque de mauvaise manipulation ou de modification et d'erreur humaine lors de la manipulation de données sensibles.

  • Préparez-vous aux événements liés à la sécurité : préparez-vous à un incident grâce à une politique et à des processus de gestion des incidents et d'investigation adaptés aux exigences de votre organisation. Exécutez des simulations de réponse aux incidents et utilisez des outils automatisés pour accélérer la détection, l'investigation et le rétablissement.

Comment utiliser l'AWS SRA avec AWS CAF et AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework et AWS SRA sont des frameworks complémentaires qui fonctionnent ensemble pour soutenir vos efforts de migration et de modernisation vers le cloud.

  • AWS CAF s'appuie sur l'expérience et les meilleures pratiques d'AWS pour vous aider à aligner les valeurs de l'adoption du cloud sur les résultats commerciaux souhaités. Utilisez AWS CAF pour identifier et hiérarchiser les opportunités de transformation, évaluer et améliorer la préparation au cloud et faire évoluer de manière itérative votre feuille de route de transformation.

  • L'AWS Well-Architected Framework fournit des recommandations AWS pour créer une infrastructure sécurisée, performante, résiliente et efficace pour une variété d'applications et de charges de travail répondant aux objectifs de votre entreprise.

  • L'AWS SRA vous aide à comprendre comment déployer et gérer les services de sécurité conformément aux recommandations d'AWS CAF et d'AWS Well-Architected Framework.

Par exemple, le point de vue de la sécurité de l'AWS CAF suggère que vous évaluiez comment gérer de manière centralisée les identités de vos employés et leur authentification dans AWS. Sur la base de ces informations, vous pouvez décider d'utiliser une solution de fournisseur d'identité d'entreprise (IdP) nouvelle ou existante telle qu'Okta, Active Directory ou Ping Identity à cette fin. Vous suivez les instructions de l'AWS Well-Architected Framework et décidez d'intégrer votre IdP à l'AWS IAM Identity Center pour offrir à vos employés une expérience d'authentification unique capable de synchroniser leurs adhésions aux groupes et leurs autorisations. Vous consultez la recommandation d'AWS SRA visant à activer IAM Identity Center dans le compte de gestion de votre organisation AWS et à l'administrer via un compte d'outils de sécurité utilisé par votre équipe des opérations de sécurité. Cet exemple montre comment AWS CAF vous aide à prendre des décisions initiales concernant la posture de sécurité que vous souhaitez adopter, l'AWS Well-Architected Framework fournit des conseils sur la manière d'évaluer les services AWS disponibles pour atteindre cet objectif, et l'AWS SRA fournit ensuite des recommandations sur la manière de déployer et de gérer les services de sécurité que vous sélectionnez.