SEC06-BP05 Automatiser la protection informatique - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC06-BP05 Automatiser la protection informatique

Automatisez les opérations de protection informatique afin de réduire le besoin d’intervention humaine. Utilisez l’analyse automatique pour détecter les problèmes potentiels au sein de vos ressources informatiques et y remédier grâce à des réponses programmatiques automatisées ou à des opérations de gestion de flotte.  Intégrez l'automatisation à vos processus CI/CD pour déployer des charges de travail fiables avec dépendances. up-to-date

Résultat escompté : les systèmes automatisés effectuent toutes les analyses et tous les correctifs des ressources informatiques. Vous utilisez la vérification automatique pour vérifier que les images logicielles et les dépendances proviennent de sources fiables et qu'elles n'ont pas été falsifiées. Les charges de travail sont automatiquement vérifiées pour détecter up-to-date les dépendances et sont signées pour garantir la fiabilité des environnements informatiques. AWS  Des mesures correctives automatisées sont lancées lorsque des ressources non conformes sont détectées. 

Anti-modèles courants :

  • Suivre la pratique d’une infrastructure immuable, mais ne pas avoir de solution en place pour l’application de correctifs d’urgence ou le remplacement des systèmes de production.

  • Utiliser l’automatisation pour corriger les ressources mal configurées, mais ne pas mettre en place de mécanisme de remplacement manuel.  Dans certains cas, vous devrez ajuster les exigences et suspendre les automatisations jusqu’à ce que vous apportiez ces modifications.

Avantages liés au respect de cette bonne pratique : l’automatisation peut réduire le risque d’accès et d’utilisation non autorisés de vos ressources informatiques.  Elle contribue à éviter que les erreurs de configuration soient transférées dans les environnements de production, et à détecter et corriger ces erreurs le cas échéant.  L’automatisation facilite également la détection des accès et utilisations non autorisés des ressources de calcul afin de réduire le temps de réponse.  Vous pouvez ainsi réduire la portée globale de l’impact du problème.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Vous pouvez appliquer les automatisations décrites dans les pratiques du pilier de sécurité pour protéger vos ressources de calcul. SEC06-BP01 Perform Vulnerability management décrit comment vous pouvez utiliser Amazon Inspector à la fois dans vos pipelines CI/CD et pour analyser en permanence vos environnements d'exécution à la recherche de vulnérabilités et d'expositions courantes connues (). CVEs  Vous pouvez utiliser AWS Systems Manager pour appliquer des correctifs ou effectuer des redéploiements à partir d’images récentes via des runbooks automatisés afin de maintenir votre parc informatique à jour avec les derniers logiciels et bibliothèques.  Utilisez ces techniques pour limiter la nécessité de mettre en place des processus manuels et des accès interactifs à vos ressources de calcul.  Voir SEC06-BP03 Réduisez la gestion manuelle et l'accès interactif pour en savoir plus.

L'automatisation joue également un rôle dans le déploiement de charges de travail fiables, comme décrit dans SEC06-BP02 Provisionner le calcul à partir d'images renforcées et SEC06-BP04 Valider l'intégrité du logiciel.  Vous pouvez utiliser des services tels qu'EC2Image Builder et Amazon Elastic Container Registry (ECR) pour télécharger, vérifier, créer et stocker des images et des dépendances de code renforcées et approuvées. AWS SignerAWS CodeArtifact   Outre Inspector, chacun de ces éléments peut jouer un rôle dans votre processus CI/CD, de sorte que votre charge de travail n'est transmise à la production que lorsqu'il est confirmé que ses dépendances existent up-to-date et qu'elles proviennent de sources fiables.  Votre charge de travail est également signée afin que les environnements de AWS calcul, tels qu'AWS LambdaAmazon Elastic Kubernetes Service EKS (), puissent vérifier qu'elle n'a pas été modifiée avant de l'autoriser à s'exécuter.

Au-delà de ces contrôles préventifs, vous pouvez également utiliser l’automatisation dans vos contrôles de détection pour vos ressources de calcul.  À titre d'exemple, les AWS Security Huboffres de la norme NIST800-53 Rev. 5 qui inclut des contrôles tels que [EC2.8] les EC2 instances doivent utiliser le service de métadonnées d'instance version 2 (). IMDSv2  IMDSv2utilise les techniques d'authentification de session, de blocage des demandes contenant un X-Forwarded-For HTTP en-tête et d'un réseau TTL de 1 pour arrêter le trafic provenant de sources externes afin de récupérer des informations sur l'EC2instance. Ce check in Security Hub permet de détecter le moment où les EC2 instances utilisent IMDSv1 et de lancer des mesures correctives automatisées. Pour en savoir plus sur la détection et les corrections automatisées, consultez le document SEC04-BP04 Initiez la correction des ressources non conformes.

Étapes d’implémentation

  1. Automatisez la création sécurisée, conforme et renforcée AMIs avec EC2Image Builder.  Vous pouvez produire des images intégrant des contrôles issus des standards du Center for Internet Security (CIS) ou des normes du Security Technical Implementation Guide (STIG) à partir d'images de base AWS et de APN partenaires.

  2. Automatisez la gestion de la configuration. Appliquez et validez des configurations sécurisées dans vos ressources de calcul automatiquement à l’aide d’un service ou d’un outil de gestion de la configuration. 

    1. Gestion de configuration automatisée à l’aide de AWS Config

    2. Gestion automatisée de la posture de sécurité et de conformité à l’aide de AWS Security Hub

  3. Automatisez l'application de correctifs ou le remplacement des instances Amazon Elastic Compute Cloud (AmazonEC2). AWS Systems Manager Patch Manager automatise le processus d'application des correctifs aux instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le Gestionnaire de correctifs pour appliquer des correctifs pour les systèmes d’exploitation et les applications.

  4. Automatisez l'analyse des ressources informatiques pour détecter les vulnérabilités et les risques courants (CVEs), et intégrez des solutions d'analyse de sécurité dans votre pipeline de création.

  5. Pensez à Amazon GuardDuty pour la détection automatique des malwares et des menaces afin de protéger les ressources informatiques. GuardDuty peut également identifier les problèmes potentiels lorsqu'une AWS Lambdafonction est invoquée dans votre AWS environnement. 

  6. Envisagez des solutions AWS partenaires. AWS Les partenaires proposent des produits de pointe équivalents, identiques ou intégrés aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :