SEC06-BP05 Automatiser la protection du calcul

Automatisez les opérations de protection informatique afin de réduire le besoin d’intervention humaine. Utilisez l’analyse automatique pour détecter les problèmes potentiels au sein de vos ressources informatiques et y remédier grâce à des réponses programmatiques automatisées ou à des opérations de gestion de flotte.  Intégrez l’automatisation à vos processus CI/CD pour déployer des charges de travail fiables avec des dépendances à jour.

Résultat souhaité : les systèmes automatisés effectuent toutes les opérations d’analyse et de correction des ressources de calcul. Vous utilisez la vérification automatique pour vérifier que les images logicielles et les dépendances proviennent de sources fiables et n’ont pas été altérées. Les charges de travail sont automatiquement vérifiées pour détecter les dépendances actualisées et sont signées pour établir la fiabilité dans les environnements de calcul AWS.  Des mesures correctives automatisées sont lancées lorsque des ressources non conformes sont détectées. 

Anti-modèles courants :

• Suivre la pratique d’une infrastructure immuable, mais ne pas avoir de solution en place pour l’application de correctifs d’urgence ou le remplacement des systèmes de production.

• Utiliser l’automatisation pour corriger les ressources mal configurées, mais ne pas mettre en place de mécanisme de remplacement manuel.  Dans certains cas, vous devrez ajuster les exigences et suspendre les automatisations jusqu’à ce que vous apportiez ces modifications.

Avantages de la mise en place de cette bonne pratique : l’automatisation peut réduire le risque de consultation et d’utilisation non autorisées de vos ressources informatiques.  Elle contribue à éviter que les erreurs de configuration soient transférées dans les environnements de production, et à détecter et corriger ces erreurs le cas échéant.  L’automatisation facilite également la détection des accès et utilisations non autorisés des ressources de calcul afin de réduire le temps de réponse.  Vous pouvez ainsi réduire la portée globale de l’impact du problème.

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : moyen

Directives d’implémentation

Vous pouvez appliquer les automatisations décrites dans les pratiques du pilier de sécurité pour protéger vos ressources de calcul. SEC06-BP01 Gérer les failles décrit la manière dont vous pouvez utiliser Amazon Inspector dans vos pipelines CI/CD et pour analyser en permanence vos environnements d’exécution à la recherche de vulnérabilités et risques communs (CVE) connus.  Vous pouvez utiliser AWS Systems Manager pour appliquer des correctifs ou effectuer un redéploiement à partir de nouvelles images via des runbooks automatisés afin de maintenir votre flotte informatique à jour avec les derniers logiciels et bibliothèques.  Utilisez ces techniques pour limiter la nécessité de mettre en place des processus manuels et des accès interactifs à vos ressources de calcul.  Consultez SEC06-BP03 Réduire la gestion manuelle et l’accès interactif pour en savoir plus.

L’automatisation joue également un rôle dans le déploiement de charges de travail fiables, comme décrit dans SEC06-BP02 Provisionner le calcul à partir d’images renforcées et SEC06-BP04 Valider l’intégrité des logiciels.  Vous pouvez utiliser des services tels qu’EC2 Image Builder, AWS Signer, AWS CodeArtifact et Amazon Elastic Container Registry (ECR) pour télécharger, vérifier, créer et stocker des images renforcées et approuvées, ainsi que des dépendances de code.   Outre Inspector, chacun d’entre eux peut jouer un rôle dans votre processus CI/CD, de sorte que votre charge de travail n’est mise en production qu’après confirmation que ses dépendances sont à jour et proviennent de sources fiables.  Votre charge de travail est également signée afin que les environnements de calcul AWS, tels qu’AWS Lambda et Amazon Elastic Kubernetes Service (EKS), puissent vérifier qu’elle n’a pas été modifiée avant d’autoriser son exécution.

Au-delà de ces contrôles préventifs, vous pouvez également utiliser l’automatisation dans vos contrôles de détection pour vos ressources de calcul.  À titre d’exemple, AWS Security Hub propose la norme NIST 800-53 Rév. 5 qui inclut des vérifications telles que la suivante : [EC2.8] EC2 instances should use Instance Metadata Service Version 2 (IMDSv2).  IMDSv2 utilise les techniques d’authentification de session, de blocage des requêtes contenant un en-tête HTTP X-Forwarded-For et un TTL réseau 1 pour arrêter le trafic provenant de sources externes afin de récupérer des informations sur l’instance EC2. Cet enregistrement permet à Security Hub de détecter quand les instances EC2 utilisent IMDSv1 et de lancer une correction automatique. Pour en savoir plus sur la détection et les mesures correctives automatisées, consultez SEC04-BP04 Lancer la correction pour les ressources non conformes.

Étapes d’implémentation

1. Automatisez la création d’AMI sécurisées, conformes et renforcées avec EC2 Image Builder.  Vous pouvez produire des images qui intègrent des contrôles issus des références du Center for Internet Security (CIS) ou des normes du Security Technical Implementation Guide (STIG) à partir des images de base d’AWS et des partenaires APN.

2. Automatisez la gestion de la configuration. Appliquez et validez des configurations sécurisées dans vos ressources de calcul automatiquement à l’aide d’un service ou d’un outil de gestion de la configuration. 

   1. Gestion de la configuration automatisée avec AWS Config

   2. Gestion automatisée de la posture de sécurité et de conformité avec AWS Security Hub

3. Automatisez l’application de correctifs ou le remplacement des instances Amazon Elastic Compute Cloud (Amazon EC2). Le Gestionnaire de correctifs d’AWS Systems Manager automatise le processus d’application de correctifs aux instances gérées avec des mises à jour liées à la sécurité et d’autres types de mises à jour. Vous pouvez utiliser le Gestionnaire de correctifs pour appliquer des correctifs aux systèmes d’exploitation et aux applications.

   1. Gestionnaire de correctifs d'AWS Systems Manager

4. Automatisez l’analyse des ressources de calcul pour détecter les vulnérabilités et risques communs (CVE), et intégrez des solutions d’analyse de sécurité à votre pipeline de création.

   1. Amazon Inspector

   2. Analyse d’image ECR

5. Envisagez d’utiliser Amazon GuardDuty pour la détection automatique des logiciels malveillants et des menaces afin de protéger les ressources de calcul. GuardDuty peut également identifier les problèmes potentiels lorsqu’une fonction AWS Lambda est invoquée dans votre environnement AWS. 

   1. Amazon GuardDuty

6. Envisagez les solutions des Partenaires AWS. Les Partenaires AWS proposent des produits leaders du secteur qui sont équivalents, identiques ou s’intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.

   1. Sécurité de l’infrastructure

Ressources

Bonnes pratiques associées :

• SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard

Documents connexes :

• Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure

Vidéos connexes :

• Security best practices for the Amazon EC2 instance metadata service