SEC06-BP02 Réduire la surface d'attaque - AWS Well-Architected Framework

SEC06-BP02 Réduire la surface d'attaque

Réduisez votre exposition aux accès imprévus en renforçant les systèmes d'exploitation et en limitant au minimum l'utilisation des composants, des bibliothèques et des services consommables en externe. Commencez par réduire les composants inutilisés, qu'il s'agisse de packages de système d'exploitation ou d'applications pour les charges de travail basées sur Amazon Elastic Compute Cloud (Amazon EC2), ou de modules logiciels externes dans votre code (pour toutes les charges de travail). Il existe de nombreux guides sur le renforcement et la configuration de la sécurité pour les systèmes d'exploitation et les logiciels serveur courants. Par exemple, vous pouvez commencer par le Center for Internet Security et partir de là.

Dans Amazon EC2, vous pouvez créer vos propres Amazon Machine Images (AMI), auxquelles vous avez appliqué des correctifs et dont vous avez renforcé la sécurité, pour vous aider à répondre aux exigences de sécurité spécifiques de votre organisation. Les correctifs et autres contrôles de sécurité que vous appliquez sur l'AMI sont effectifs au moment où ils ont été créés. Ils ne sont pas dynamiques, sauf si vous les modifiez après le lancement, par exemple, avec AWS Systems Manager.

Vous pouvez simplifier le processus de création d'AMI sécurisées avec EC2 Image Builder. EC2 Image Builder réduit considérablement l'effort requis pour créer et préserver des images de référence sans avoir à écrire ni à gérer l'automatisation. Lorsque des mises à jour logicielles sont disponibles, Image Builder génère automatiquement une nouvelle image sans obliger les utilisateurs à lancer manuellement les créations d'image. EC2 Image Builder vous permet de valider facilement la fonctionnalité et la sécurité de vos images avant de les utiliser en production avec les tests fournis par AWS et vos propres tests. Vous pouvez également appliquer les paramètres de sécurité fournis par AWS pour sécuriser davantage vos images afin de répondre aux critères de sécurité internes. Par exemple, vous pouvez créer des images conformes à la norme Security Technical Implementation Guide (STIG) à l'aide de modèles fournis par AWS.

Grâce à des outils d'analyse de code statique tiers, vous pouvez identifier les problèmes de sécurité courants tels que les limites d'entrée de fonction non contrôlées, ainsi que les vulnérabilités et expositions courantes applicables. Vous pouvez utiliser Amazon CodeGuru pour les langues prises en charge. Les outils de vérification des dépendances peuvent également être utilisés pour déterminer si les bibliothèques avec lesquelles votre code est lié sont les dernières versions, sont elles-mêmes exemptes de vulnérabilités et d'expositions courantes et ont des conditions de licence qui répondent aux exigences de votre politique logicielle.

À l'aide d'Amazon Inspector, vous pouvez effectuer des évaluations de configuration de vos instances pour identifier les vulnérabilités et expositions communes connues, les évaluer par rapport à des points de référence en matière de sécurité et automatiser la notification des défauts. Amazon Inspector s'exécute sur des instances de production ou dans un pipeline de conception et notifie les développeurs et ingénieurs lorsque les résultats sont prêts. Vous pouvez accéder aux résultats par programmation et diriger votre équipe vers les systèmes de suivi des bugs et des retards. EC2 Image Builder peut être utilisé pour gérer les images de serveur (AMI) avec l'application de correctifs automatisée, l'application de politiques de sécurité fournies par AWS et d'autres personnalisations. Lorsque vous utilisez des conteneurs, mettez en œuvre l' analyse d'image ECR dans votre pipeline de génération et régulièrement par rapport à votre référentiel d'images pour rechercher les failles CVE dans vos conteneurs.

Si Amazon Inspector et d'autres outils sont efficaces pour identifier les configurations et les failles CVE présentes, d'autres méthodes sont nécessaires pour tester votre charge de travail au niveau de l'application. Le fuzzing est une méthode bien connue pour trouver des bugs en utilisant l'automatisation pour injecter des données malformées dans les champs de saisie et d'autres parties de votre application.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Débit

Directives d'implémentation

Ressources

Documents connexes :

Vidéos connexes :

Exemples connexes :