SEC01-BP01 Séparer les charges de travail à l'aide de comptes

Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d'isolement pour la sécurité, la facturation et les accès.

Résultat souhaité : une structure de compte qui isole les opérations cloud, les charges de travail non liées et les environnements dans des comptes séparés, ce qui permet de renforcer la sécurité dans l'infrastructure cloud.

Anti-modèles courants :

• Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.

• Structure d'unité d'organisation mal définie.

Avantages liés à l'instauration de cette bonne pratique :

• Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.

• Gouvernance centralisée des services, ressources et régions AWS.

• Maintien de la sécurité de l'infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.

• Processus automatisé de création et de gestion des comptes.

• Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

Les Comptes AWS établissent une limite d'isolement de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils permettant de gérer vos charges de travail cloud à grande échelle grâce à une stratégie multicompte pour tirer parti de cette limite d'isolement. Pour obtenir des conseils sur les concepts, les modèles et l'implémentation d'une stratégie multicompte sur AWS, consultez Organizing Your AWS Environment Using Multiple Accounts (Organisation de votre environnement AWS à l'aide de plusieurs comptes).

Lorsque plusieurs Comptes AWS sont gérés de façon centralisée, ils doivent être organisés selon une hiérarchie définie par des couches d'unités d'organisation. Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux unités d'organisation et aux comptes membres, ce qui permet d'établir des contrôles préventifs uniformes sur les comptes membres au sein de l'organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d'une hiérarchie d'unités d'organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre.

Les services AWS Organizations et AWS Control Tower peuvent être utilisés pour implémenter et gérer cette structure multicompte dans votre environnement AWS. AWS Organizations vous permet d'organiser les comptes dans une hiérarchie définie par une ou plusieurs couches d'unités d'organisation, chacune de ces dernières contenant un certain nombre de comptes membres. Les politiques de contrôle des services (SCP) permettent à l'administrateur de l'organisation d'établir des contrôles préventifs granulaires sur les comptes membres et AWS Config peut être utilisé pour établir des contrôles proactifs et de détection sur les comptes membres. Un grand nombre de services AWS s'intègrent à AWS Organizations pour fournir des contrôles administratifs délégués et effectuer des tâches propres aux services dans tous les comptes membres de l'organisation.

Ajouté au-dessus d'AWS Organizations, AWS Control Tower fournit une configuration en un clic des bonnes pratiques pour un environnement AWS multicompte avec une zone de destination. La zone de destination est le point d'entrée de l'environnement multicompte établi par Control Tower. Control Tower offre plusieurs avantages par rapport à AWS Organizations. Les trois avantages qui permettent d'améliorer la gouvernance des comptes sont les suivants :

• Des barrières de protection obligatoires intégrées qui sont automatiquement appliquées aux comptes admis dans l'organisation.

• Des barrières de protection facultatives qui peuvent être activées ou désactivées pour un ensemble donné d'unités d'organisation.

• AWS Control Tower Account Factory fournit un déploiement automatisé des comptes contenant des bases de référence préapprouvées et des options de configuration au sein de votre organisation.

Étapes d'implémentation

1. Concevez une structure d'unités d'organisation : une structure d'unités d'organisation bien conçue réduit la charge de gestion liée à la création et à l'application des politiques de contrôle des services et d'autres contrôles de sécurité. Votre structure d'unités d'organisation doit être alignée sur les besoins opérationnels, la sensibilité des données et la structure des charges de travail.

2. Créez une zone de destination pour votre environnement multicompte : une zone de destination fournit une base cohérente de sécurité et d'infrastructure à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une zone de destination personnalisée ou AWS Control Tower pour orchestrer votre environnement.

3. Établissez des barrières de protection : implémentez des barrières de protection de sécurité uniformes pour votre environnement dans votre zone de destination. AWS Control Tower fournit une liste de contrôles obligatoires et facultatifs qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l'implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins.

4. Limitez l'accès aux régions qui viennent d'être ajoutées : pour les nouvelles Régions AWS, les ressources IAM telles que les utilisateurs et les rôles sont uniquement propagées vers les régions que vous spécifiez. Cette action peut être effectuée via la console lorsque vous utilisez Control Tower ou en modifiant les politiques d'autorisations IAM dans AWS Organizations.

5. Envisagez l'utilisation d'AWS CloudFormation StackSets : les StackSets vous permettent de déployer des ressources, dont les politiques, rôles et groupes IAM dans différentes régions et différents Comptes AWS à partir d'un modèle approuvé.

Ressources

Bonnes pratiques associées :

• SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé

Documents connexes :

• AWS Control Tower

• AWS Security Audit Guidelines (Consignes pour les audits de sécurité AWS)

• Bonnes pratiques dans IAM

• Use CloudFormation StackSets to provision resources across multiple Comptes AWS and regions (Utiliser CloudFormation StackSets pour provisionner les ressources sur plusieurs comptes et régions AWS)

• FAQ sur AWS Organizations

• Terminologie et concepts relatifs à AWS Organizations

• Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment (Bonnes pratiques pour les politiques de contrôle des services d'AWS Organizations dans un environnement multicompte)

• AWS Account Management Reference Guide (Guide de référence de la gestion des comptes AWS)

• Organizing Your AWS Environment Using Multiple Accounts (Organisation de votre environnement AWS à l'aide de plusieurs comptes)

Vidéos connexes :

• Enable AWS adoption at scale with automation and governance

• Security Best Practices the Well-Architected Way

• Building and Governing Multiple Accounts using AWS Control Tower

• Enable Control Tower for Existing Organizations

Ateliers connexes :

• Journée d'immersion Control Tower