SEC08-BP03 Automatiser la protection des données au repos - Pilier Sécurité
Directives d’implémentation Ressources

SEC08-BP03 Automatiser la protection des données au repos

Utilisez l’automatisation pour valider et appliquer les contrôles des données au repos.  Utilisez l’analyse automatique pour détecter les erreurs de configuration de vos solutions de stockage de données et effectuez des corrections par le biais d’une réponse programmatique automatisée dans la mesure du possible.  Intégrez l’automatisation à vos processus de CI/CD afin de détecter les erreurs de configuration du stockage des données avant leur déploiement en production.

Résultat souhaité : les systèmes automatisés analysent et surveillent les emplacements de stockage des données pour détecter les erreurs de configuration des contrôles, tout accès non autorisé et toute utilisation inattendue.  La détection d’emplacements de stockage mal configurés déclenche des mesures correctives automatisées.  Les processus automatisés créent des sauvegardes de données et stockent des copies immuables en dehors de l’environnement d’origine.

Anti-modèles courants :

  • Ne pas prendre en compte les options permettant d’activer des paramètres de chiffrement par défaut, lorsque le chiffrement est pris en charge.

  • Ne pas prendre en compte les événements de sécurité, en plus des événements opérationnels, lors de la formulation d’une stratégie de sauvegarde et de restauration automatisée.

  • Ne pas appliquer les paramètres d’accès public pour les services de stockage.

  • Ne pas surveiller ni auditer vos contrôles pour protéger les données au repos.

Avantages de la mise en place de cette bonne pratique : l’automatisation permet d’éviter le risque d’erreur de configuration de vos emplacements de stockage de données. Cela permet d’éviter que des erreurs de configuration ne pénètrent dans vos environnements de production. Grâce à cette bonne pratique, vous pouvez également détecter et corriger les erreurs de configuration, le cas échéant. 

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : moyen

Directives d’implémentation 

L’automatisation est un thème récurrent dans les pratiques de protection de vos données au repos. SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard décrit comment vous pouvez capturer la configuration de vos ressources à l’aide de modèles d’infrastructure en tant que code (IaC), par exemple avec AWS CloudFormation.  Ces modèles sont validés dans un système de contrôle de version et sont utilisés pour déployer des ressources sur AWS via un pipeline CI/CD.  Ces techniques s’appliquent également à l’automatisation de la configuration de vos solutions de stockage de données, telles que les paramètres de chiffrement des compartiments Amazon S3.  

Vous pouvez vérifier si les paramètres que vous définissez dans les modèles IaC ont été configurés correctement dans vos pipelines CI/CD à l’aide de règles dans AWS CloudFormation Guard.  Vous pouvez surveiller les paramètres qui ne sont pas encore disponibles dans CloudFormation ou dans d’autres outils IaC pour détecter toute erreur de configuration avec AWS Config.  Les alertes générées par Config en cas d’erreur de configuration peuvent être corrigées automatiquement, comme décrit dans SEC04-BP04 Lancer la correction pour les ressources non conformes.

L’utilisation de l’automatisation dans le cadre de votre stratégie de gestion des autorisations fait également partie intégrante des protections automatisées des données. SEC03-BP02 Accorder un accès selon le principe du moindre privilège et SEC03-BP04 Limiter les autorisations au minimum requis en permanence décrivent la configuration des politiques d’accès selon le principe du moindre privilège. Ces politiques sont surveillées par AWS Identity and Access Management Access Analyzer en permanence afin de générer des résultats lorsque les autorisations peuvent être réduites.  Au-delà de l’automatisation de la surveillance des autorisations, vous pouvez configurer Amazon GuardDuty de façon à surveiller les comportements anormaux d’accès aux données pour vos volumes EBS (via une instance EC2), vos compartiments S3 et les bases de données Amazon Relational Database Service prises en charge.

L’automatisation joue également un rôle dans la détection des données sensibles stockées dans des emplacements non autorisés. SEC07-BP03 Automatiser l’identification et la classification décrit comment Amazon Macie peut surveiller vos compartiments S3 afin de détecter la présence de données sensibles inattendues et de générer des alertes pouvant déclencher une réponse automatique.

Suivez les pratiques décrites dans REL09 Sauvegarder les données afin de développer une stratégie automatisée de sauvegarde et de restauration des données. La sauvegarde et la restauration des données sont aussi importantes pour la restauration après des événements de sécurité que pour des événements opérationnels.

Étapes d’implémentation

  1. Capturez la configuration du stockage des données dans des modèles IaC.  Utilisez des contrôles automatisés dans vos pipelines CI/CD pour détecter les erreurs de configuration.

    1. Vous pouvez utiliser <ulink type="marketing" url="cloudformation">&CFN;</ulink> pour vos modèles IaC et CloudFormation Guard afin de vous assurer que les modèles ont été configurés correctement.

    2. AWS Config permet d’exécuter des règles dans un mode d’évaluation proactive. Utilisez ce paramètre pour vérifier la conformité d’une ressource en tant qu’étape de votre pipeline CI/CD avant de la créer.

  2. Surveillez les ressources pour détecter les erreurs de configuration du stockage des données.

    1. Configurez AWS Config de façon à surveiller les ressources de stockage des données afin de détecter tout changement dans les configurations de contrôle et de générer des alertes pour déclencher des actions correctives en cas de détection d’une erreur de configuration.

    2. Reportez-vous à SEC04-BP04 Lancer la correction pour les ressources non conformes afin d’obtenir des informations complémentaires sur les corrections automatisées.

  3. Surveillez et réduisez continuellement les autorisations d’accès aux données grâce à l’automatisation.

    1. IAM Access Analyzer peut être exécuté en continu pour générer des alertes lorsque les autorisations peuvent éventuellement être réduites.

  4. Surveillez et signalez les comportements anormaux en matière d’accès aux données.

    1. GuardDuty surveille à la fois les signatures de menaces connues et les écarts par rapport aux comportements d’accès de base pour les ressources de stockage de données, telles que les volumes EBS, les compartiments S3 et les bases de données RDS.

  5. Surveillez les données sensibles et donnez l’alerte si certaines d’entre elles sont stockées dans des endroits inattendus.

    1. Utilisez Amazon Macie pour analyser en permanence vos compartiments S3 afin de détecter les données sensibles.

  6. Automatisez les sauvegardes sécurisées et chiffrées de vos données.

    1. AWS Backup est un service géré qui crée des sauvegardes chiffrées et sécurisées de diverses sources de données sur AWS.  Elastic Disaster Recovery vous permet de copier l’intégralité des charges de travail du serveur et de préserver une protection continue des données avec un objectif de point de reprise (RPO) mesuré en secondes.  Vous pouvez configurer les deux services de façon à ce qu’ils fonctionnent ensemble pour automatiser la création de sauvegardes de données et leur copie vers des emplacements de basculement.  Vous pouvez ainsi garantir la disponibilité de vos données lorsqu’elles sont touchées par des événements opérationnels ou de sécurité.

Ressources

Bonnes pratiques associées :

Documents connexes :

Exemples connexes :

Outils associés :