Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Empêcher les accès non autorisés et l'exfiltration de données
Selon le rapport sur le coût d'une violation de données en 2022 (rapport
Les principales considérations à prendre en compte pour sécuriser vos données sont les suivantes :
-
Authentification des utilisateurs pour l'accès à l'environnement de développement sécurisé
-
Autorisation utilisateur pour l'accès aux données dans l'environnement de développement sécurisé
-
Enregistrement de tous les transferts vers et depuis l'environnement de développement sécurisé
-
Conception de flux de données sécurisés entre les environnements
-
Chiffrement des données en transit et au repos
-
Limiter et enregistrer le trafic réseau sortant
Configuration des autorisations
AWS Identity and Access Management (IAM) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser. Par défaut, toute action AWS est implicitement refusée, sauf si elle est explicitement autorisée. Vous gérez l'accès en AWS créant des politiques. Vous pouvez utiliser des politiques pour définir, à un niveau granulaire, quels utilisateurs peuvent accéder à quelles ressources et quelles actions ils peuvent effectuer sur ces ressources. L'une des AWS meilleures pratiques consiste à appliquer des autorisations de moindre privilège, ce qui signifie que vous n'accordez aux utilisateurs que les autorisations dont ils ont besoin pour effectuer leurs tâches. Pour plus d'informations, consultez les informations suivantes dans la documentation IAM :
Authentification des utilisateurs
Il est recommandé d' AWS obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires. Le service recommandé pour centraliser l'accès de votre personnel utilisateur est AWS IAM Identity Center. Ce service vous permet de créer ou de connecter en toute sécurité les identités de vos employés et de gérer leur accès de manière centralisée pour toutes Comptes AWS les applications. IAM Identity Center peut se fédérer avec des fournisseurs d'identité externes (IdPs) en utilisant SAML 2.0, Open ID Connect (OIDC) ou OAuth 2.0 afin de garantir une intégration et une gestion des utilisateurs fluides. Pour plus d'informations, voir Fédération d'identité dans AWS
Vous pouvez également authentifier et autoriser les utilisateurs en utilisant AWS Directory Servicepour gérer les utilisateurs et les groupes définis dans un annuaire, tel qu'Active Directory. Dans l'environnement de développement sécurisé, vous pouvez utiliser les autorisations de fichiers Linux pour autoriser et restreindre l'accès aux données dans le cloud privé virtuel (VPC). Utilisez des points de terminaison VPC pour fournir un accès à l'Internet public Services AWS sans passer par le biais de celui-ci. Utilisez des politiques de point de terminaison pour limiter AWS les principaux autorisés à utiliser le point de terminaison, et utilisez des politiques basées sur l'identité pour restreindre l'accès à. Services AWS
Transfert de données
AWS propose plusieurs méthodes pour migrer les données sur site vers le cloud. Il est courant de stocker initialement les données dans Amazon Simple Storage Service (Amazon S3). Amazon S3 est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données. Il fournit une bande passante allant jusqu'à 25 Gbit/s lors du transfert de données vers ou depuis une instance Amazon Elastic Compute Cloud (Amazon EC2). Il propose également la réplication des données entre régions et la hiérarchisation des données. Les données stockées dans Amazon S3 peuvent servir de source de réplication. Vous pouvez l'utiliser pour créer de nouveaux systèmes de fichiers ou pour transférer des données vers des EC2 instances. Vous pouvez utiliser Amazon S3 comme backend d'un système de fichiers AWS géré compatible POSIX (Portable Operating System Interface) pour les outils et les flux de semi-conducteurs.
Un autre service AWS de stockage est Amazon FSx, qui fournit des systèmes de fichiers prenant en charge les protocoles de connectivité standard et offrant une haute disponibilité et une réplication entre eux. Régions AWS Les choix courants dans le secteur des semi-conducteurs incluent Amazon FSx pour NetApp ONTAP, Amazon FSx pour Lustre et Amazon FSx pour OpenZFS. Les systèmes de fichiers évolutifs et performants d'Amazon FSx sont parfaitement adaptés au stockage de données en local dans un environnement de développement sécurisé.
AWS vous recommande de définir d' AWS abord les exigences de stockage pour vos charges de travail relatives aux semi-conducteurs, puis d'identifier le mécanisme de transfert de données approprié. AWS recommande AWS DataSyncde l'utiliser pour transférer des données depuis les locaux vers AWS. DataSync est un service de transfert et de découverte de données en ligne qui vous permet de déplacer des fichiers ou des données d'objets vers, depuis et entre les services AWS de stockage. Selon que vous utilisez des systèmes de stockage autogérés ou un fournisseur de stockage tel que NetApp, vous pouvez configurer DataSync pour accélérer le transfert et la réplication des données vers votre environnement de développement sécurisé via Internet ou via Internet. AWS Direct Connect DataSync peut transférer les données et les métadonnées de votre système de fichiers, telles que la propriété, les horodatages et les autorisations d'accès. Si vous transférez des fichiers entre FSx for ONTAP et NetApp ONTAP, il est AWS recommandé d'utiliser. NetApp SnapMirror Amazon FSx prend en charge le chiffrement au repos et en transit. Utilisez AWS CloudTrailet d'autres fonctionnalités de journalisation spécifiques au service pour enregistrer tous les appels d'API et les transferts de données associés. Centralisez les journaux dans un compte dédié et appliquez des politiques d'accès détaillées pour un historique immuable.
AWS fournit des services supplémentaires pour aider à contrôler les flux de données, notamment des pare-feux réseau adaptés aux applications tels que le AWS Network Firewallpare-feu Amazon Route 53 Resolver DNS et les proxys AWS WAFWeb. Contrôlez les flux de données au sein de l'environnement en appliquant la segmentation du réseau à l'aide de groupes de sécurité, de listes de contrôle d'accès réseau et de points de terminaison VPC dans Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, tables de routage des passerelles de transit et politiques de contrôle des services () dans. SCPs AWS Organizations Enregistrez de manière centralisée tout le trafic réseau à l'aide des journaux de flux VPC et des champs disponibles dans les versions 2 à 5 des journaux de flux VPC.
Chiffrement de données
Chiffrez toutes les données inactives à l'aide de AWS Key Management Service (AWS KMS) clés gérées par le client ou AWS CloudHSM. Créez et maintenez des politiques granulaires en matière de ressources clés. Pour plus d'informations, veuillez consulter Creating an enterprise encryption strategy for data at rest.
Chiffrez les données en transit en appliquant un minimum de TLS 1.2 avec un algorithme de chiffrement AES-256 bits (Advanced Encryption Standard) 256 bits conforme aux normes du secteur.
Gestion du trafic réseau sortant
Si l'environnement de développement sécurisé nécessite un accès à Internet, tout le trafic Internet sortant doit être enregistré et restreint via un point d'application au niveau du réseau, tel que Network Firewall ou Squid
Enfin, vous pouvez utiliser Network Access Analyzer, une fonctionnalité d'Amazon VPC, pour valider la segmentation du réseau et identifier les chemins réseau potentiels qui ne répondent pas aux exigences que vous avez spécifiées.
En superposant les contrôles de sécurité, vous pouvez établir et appliquer un périmètre de données robuste. Pour plus d'informations, voir Création d'un périmètre de données sur AWS.
