Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SEC06-BP05 Automatiser la protection informatique
Automatisez les opérations de protection informatique afin de réduire le besoin d’intervention humaine. Utilisez l’analyse automatique pour détecter les problèmes potentiels au sein de vos ressources informatiques et y remédier grâce à des réponses programmatiques automatisées ou à des opérations de gestion de flotte. Intégrez l'automatisation à vos processus CI/CD pour déployer des charges de travail fiables avec dépendances. up-to-date
Résultat escompté : les systèmes automatisés effectuent toutes les analyses et tous les correctifs des ressources informatiques. Vous utilisez la vérification automatique pour vérifier que les images logicielles et les dépendances proviennent de sources fiables et qu'elles n'ont pas été falsifiées. Les charges de travail sont automatiquement vérifiées pour détecter up-to-date les dépendances et sont signées pour garantir la fiabilité des environnements informatiques. AWS Des mesures correctives automatisées sont lancées lorsque des ressources non conformes sont détectées.
Anti-modèles courants :
-
Suivre la pratique d’une infrastructure immuable, mais ne pas avoir de solution en place pour l’application de correctifs d’urgence ou le remplacement des systèmes de production.
-
Utiliser l’automatisation pour corriger les ressources mal configurées, mais ne pas mettre en place de mécanisme de remplacement manuel. Dans certains cas, vous devrez ajuster les exigences et suspendre les automatisations jusqu’à ce que vous apportiez ces modifications.
Avantages liés au respect de cette bonne pratique : l’automatisation peut réduire le risque d’accès et d’utilisation non autorisés de vos ressources informatiques. Elle contribue à éviter que les erreurs de configuration soient transférées dans les environnements de production, et à détecter et corriger ces erreurs le cas échéant. L’automatisation facilite également la détection des accès et utilisations non autorisés des ressources de calcul afin de réduire le temps de réponse. Vous pouvez ainsi réduire la portée globale de l’impact du problème.
Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen
Directives d’implémentation
Vous pouvez appliquer les automatisations décrites dans les pratiques du pilier de sécurité pour protéger vos ressources de calcul. SEC06-BP01 Perform Vulnerability management décrit comment vous pouvez utiliser Amazon Inspector
L'automatisation joue également un rôle dans le déploiement de charges de travail fiables, comme décrit dans SEC06-BP02 Provisionner le calcul à partir d'images renforcées et SEC06-BP04 Valider l'intégrité du logiciel. Vous pouvez utiliser des services tels qu'EC2Image Builder
Au-delà de ces contrôles préventifs, vous pouvez également utiliser l’automatisation dans vos contrôles de détection pour vos ressources de calcul. À titre d'exemple, les AWS Security Hub
Étapes d’implémentation
-
Automatisez la création sécurisée, conforme et renforcée AMIs avec EC2Image Builder. Vous pouvez produire des images intégrant des contrôles issus des standards du Center for Internet Security (CIS) ou des normes du Security Technical Implementation Guide (STIG) à partir d'images de base AWS et de APN partenaires.
-
Automatisez la gestion de la configuration. Appliquez et validez des configurations sécurisées dans vos ressources de calcul automatiquement à l’aide d’un service ou d’un outil de gestion de la configuration.
-
Gestion de configuration automatisée à l’aide de AWS Config
-
Gestion automatisée de la posture de sécurité et de conformité à l’aide de AWS Security Hub
-
-
Automatisez l'application de correctifs ou le remplacement des instances Amazon Elastic Compute Cloud (AmazonEC2). AWS Systems Manager Patch Manager automatise le processus d'application des correctifs aux instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le Gestionnaire de correctifs pour appliquer des correctifs pour les systèmes d’exploitation et les applications.
-
Automatisez l'analyse des ressources informatiques pour détecter les vulnérabilités et les risques courants (CVEs), et intégrez des solutions d'analyse de sécurité dans votre pipeline de création.
-
Pensez à Amazon GuardDuty pour la détection automatique des malwares et des menaces afin de protéger les ressources informatiques. GuardDuty peut également identifier les problèmes potentiels lorsqu'une AWS Lambdafonction est invoquée dans votre AWS environnement.
-
Envisagez des solutions AWS partenaires. AWS Les partenaires proposent des produits de pointe équivalents, identiques ou intégrés aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
Ressources
Bonnes pratiques associées :
Documents connexes :
Vidéos connexes :