SEC03-BP09 Partager des ressources en toute sécurité avec un tiers - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC03-BP09 Partager des ressources en toute sécurité avec un tiers

La sécurité de votre environnement cloud ne s’arrête pas à votre organisation. Votre organisation peut faire appel à un tiers pour gérer une partie de vos données. La gestion des autorisations pour le système géré par un tiers doit suivre la pratique de l’accès juste à temps en utilisant le principe du moindre privilège avec des informations d’identification temporaires. En travaillant en étroite collaboration avec un tiers, vous pouvez réduire ensemble l’étendue de l’impact et le risque d’accès involontaire.

Résultat escompté : vous évitez d’utiliser des informations d’identification à long terme AWS Identity and Access Management (IAM) telles que des clés d’accès et des clés secrètes, car elles présentent un risque de sécurité en cas d’utilisation abusive. Vous utilisez plutôt des rôles IAM et des informations d’identification temporaires pour améliorer votre niveau de sécurité et minimiser les frais opérationnels liés à la gestion des informations d’identification à long terme. Lorsque vous accordez l’accès à un tiers, vous utilisez un identifiant unique universel (UUID) comme ID externe dans la politique d’approbation IAM et vous maintenez sous votre contrôle les politiques IAM attachées au rôle afin de garantir un accès sur la base du moindre privilège. Pour obtenir des conseils prescriptifs sur l’analyse des ressources partagées en externe, consultez SEC03-BP07 Analyser l’accès public et intercompte.

Anti-modèles courants :

  • Utilisation de la politique d’approbation IAM sans aucune condition.

  • Utilisation d’informations d’identification IAM et de clés d’accès à long terme.

  • Réutilisation des ID externes.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Vous pouvez autoriser le partage des ressources en dehors d’AWS Organizations ou accorder un accès tiers à votre compte. Par exemple, un tiers peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas de figure, vous devez créer un rôle intercompte IAM en lui attribuant uniquement les privilèges requis par le tiers. Définissez également une politique d’approbation à l’aide de la condition d’ID externe. Lorsque vous utilisez un identifiant externe, vous pouvez (ou le tiers peut) générer un identifiant unique pour chaque client, tiers ou location. L’ID unique ne doit être contrôlé que par vous après sa création. Le tiers doit implémenter un processus pour relier l’ID externe au client de manière sécurisée, auditable et reproductible.

Vous pouvez également utiliser Rôles Anywhere IAM pour gérer les rôles IAM pour des applications hors AWS qui utilisent des API AWS.

Si le tiers n’a plus besoin d’accéder à votre environnement, supprimez le rôle. Évitez de fournir à des tiers des informations d’identification à long terme. Gardez un œil sur les autres services AWS qui prennent en charge le partage, comme l’AWS Well-Architected Tool qui permet le partage d’une charge de travail avec d’autres Comptes AWS et AWS Resource Access Manager qui vous aide à partager en toute sécurité une ressource AWS que vous possédez avec d’autres comptes.

Étapes d’implémentation

  1. Utilisez des rôles intercomptes pour fournir l’accès aux comptes externes. Les rôles intercomptes réduisent la quantité d’informations sensibles stockées par les comptes externes et les tiers pour servir leurs clients. Les rôles intercomptes vous permettent d’accorder l’accès aux ressources AWS de votre compte en toute sécurité à un tiers, par exemple aux partenaires AWS ou à d’autres comptes de votre organisation, tout en préservant la capacité de gérer et d’auditer cet accès. Il se peut que le tiers vous fournisse des services à partir d’une infrastructure hybride ou qu’il extraie des données hors site pour les transférer dans un emplacement hors site. Rôles Anywhere IAM vous permet d’autoriser des charges de travail tierces à interagir en toute sécurité avec vos charges de travail AWS et de réduire encore le besoin d’informations d’identification à long terme.

    Vous ne devez pas utiliser d’informations d’identification à long terme ni de clés d’accès associées aux utilisateurs pour fournir un accès à un compte externe. Utilisez plutôt les rôles intercomptes pour fournir l’accès intercompte.

  2. Faites preuve d’une diligence raisonnable et garantissez un accès sécurisé aux fournisseurs SaaS tiers. Lorsque vous partagez des ressources avec des fournisseurs SaaS tiers, faites preuve de toute la diligence appropriée pour vous assurer qu’ils adoptent une approche sûre et responsable de l’accès à vos ressources AWS. Évaluez leur modèle de responsabilité partagée pour comprendre les mesures de sécurité qu’ils fournissent et celles qui relèvent de votre responsabilité. Assurez-vous que le fournisseur SaaS dispose d’un processus sécurisé et auditable pour accéder à vos ressources, y compris l’utilisation d’identifiants externes et les principes d’accès sur la base du moindre privilège. L’utilisation d’identifiants externes permet de résoudre le problème de l’adjoint confus.

    Mettez en œuvre des contrôles de sécurité pour garantir un accès sécurisé et le respect du principe du moindre privilège lorsque vous accordez l’accès à des fournisseurs SaaS tiers. Cela peut inclure l’utilisation d’identifiants externes, d’identifiants uniques universels (UUID) et de politiques d’approbation IAM qui limitent l’accès au strict nécessaire. Travaillez en étroite collaboration avec le fournisseur SaaS pour établir des mécanismes d’accès sécurisés, passez régulièrement en revue son accès à vos ressources AWS et effectuez des audits pour garantir le respect de vos exigences de sécurité.

  3. Rendez obsolètes les informations d’identification à long terme fournies par le client. Rendez obsolète l’utilisation d’informations d’identification à long terme et utilisez des rôles intercomptes ou Rôles Anywhere IAM. Si vous devez utiliser des informations d’identification à long terme, établissez un plan pour migrer vers un accès basé sur les rôles. Pour plus de détails sur la gestion des clés, consultez Gestion des identités. Collaborez également avec votre équipe Compte AWS et le tiers pour établir un dossier d¦exploitation d’atténuation des risques. Pour obtenir des conseils prescriptifs sur la réponse à un incident de sécurité et l’atténuation de son impact potentiel, consultez Réponse aux incidents.

  4. Vérifiez que la configuration est guidée par des instructions prescriptives ou qu’elle est automatisée. L’ID externe n’est pas traité comme un secret, mais il ne doit pas être facile à deviner, comme un numéro de téléphone, un nom ou un numéro de compte. Faites de l’ID externe un champ en lecture seule afin qu’il ne puisse pas être modifié dans le but de se faire passer pour la configuration.

    Le tiers ou vous-même pouvez générer l’ID externe. Définissez un processus pour déterminer qui est responsable de la génération de l’ID. Quelle que soit l’entité qui crée l’ID externe, le tiers applique l’unicité et les formats de façon uniforme parmi les clients.

    La politique créée pour l’accès intercompte à vos comptes doit respecter le principe du moindre privilège. Le tiers doit fournir un document de politique de rôle ou un mécanisme de configuration automatisé qui utilise un modèle AWS CloudFormation ou un équivalent pour vous. Cela réduit le risque d’erreurs associées à la création manuelle de politiques et offre une piste auditable. Pour plus d’informations sur l’utilisation d’un modèle AWS CloudFormation pour créer des rôles intercomptes, consultez Rôles intercomptes.

    Le tiers doit fournir un mécanisme de configuration automatisé et auditable. Cependant, si vous utilisez le document de politique de rôle décrivant l’accès nécessaire, vous devez automatiser la configuration du rôle. Si vous utilisez un modèle AWS CloudFormation ou un équivalent, vous devez surveiller les changements via une détection des dérives dans le cadre de la pratique d’audit.

  5. Tenez compte des modifications. Votre structure de compte, la nécessité de faire appel à un tiers, ou son offre de service peuvent changer. Vous devez anticiper les changements et les défaillances, et planifier en conséquence avec les personnes, processus et technologies appropriés. Auditez régulièrement le niveau d’accès que vous fournissez et implémentez des méthodes de détection pour vous avertir des changements imprévus. Surveillez et auditez l’utilisation du rôle et de l’entrepôt de données des ID externes. Vous devez être prêt à révoquer l’accès tiers, de façon temporaire ou permanente, en raison de changements ou de tendances d’accès imprévus. De plus, mesurez l’impact sur votre opération de révocation, y compris le temps nécessaire pour l’exécution, les personnes impliquées, le coût et l’impact sur d’autres ressources.

    Pour obtenir des conseils prescriptifs sur les méthodes de détection, consultez les bonnes pratiques en matière de détection.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples connexes :