Gestion centralisée de la sécurité

De nombreuses organisations sont confrontées à des difficultés liées à la visibilité et à la gestion centralisée de leurs environnements. À mesure que votre empreinte opérationnelle croît, ces difficultés peuvent s'aggraver si vous n'évaluez pas attentivement vos systèmes de sécurité. Le manque de connaissances, combiné à une gestion décentralisée et inégale des processus de gouvernance et de sécurité, peut rendre votre environnement vulnérable.

Certains outils fournis par AWS aident à répondre à certaines des exigences les plus complexes en matière de gestion et de gouvernance informatiques, tandis que d'autres prennent en charge une approche de protection des données dès la conception.

AWS Control Tower fournit le moyen le plus simple de configurer et de gérer un nouvel environnement AWS multicomptes sécurisé. Il automatise la configuration d'une zone de destination, qui est un environnement multicomptes basé sur de bonnes pratiques, et permet la gouvernance à l'aide de barrières de protection que vous pouvez choisir parmi une liste prédéfinie. Les barrières de protection mettent en œuvre des règles de gouvernance pour la sécurité, la conformité et les opérations. AWS Control Tower fournit la gestion des identités à l'aide du répertoire par défaut AWS IAM Identity Center (IAM Identity Center) et permet l'audit entre comptes en utilisant IAM Identity Center et IAM. Il centralise également les journaux provenant de CloudTrail et les journaux AWS Config, qui sont stockés dans Amazon S3.

AWS Security Hub est un autre service qui prend en charge la centralisation et peut améliorer la visibilité au sein d'une organisation. Security Hub centralise et hiérarchise les résultats de sécurité et de conformité de l'ensemble des comptes et services AWS, tels qu'Amazon GuardDuty et Amazon Inspector. Il peut être intégré à un logiciel de sécurité de partenaires tiers afin de vous aider à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.

Amazon GuardDuty est un service intelligent de détection des menaces qui peut aider les clients à surveiller et à protéger de manière plus précise et facile leurs comptes et charges de travail AWS, ainsi que leurs données stockées dans Amazon S3. GuardDuty analyse des milliards d'événements sur vos comptes AWS à partir de plusieurs sources, notamment les événements de gestion AWS CloudTrail, les événements de données CloudTrail Amazon S3, les journaux de flux Amazon Virtual Private Cloud et les journaux DNS. Par exemple, il détecte les appels d'API inhabituels, les communications sortantes suspectes vers des adresses IP malveillantes connues ou les vols de données potentiels utilisant des requêtes DNS comme mécanisme de transport. GuardDuty est en mesure de fournir des résultats plus précis en tirant parti des renseignements sur les menaces récupérés par machine learning et des partenaires de sécurité tiers.

Amazon Inspector est un service automatique d'évaluation de la sécurité qui permet d'améliorer la sécurité et la conformité des applications déployées sur les instances Amazon EC2. Amazon Inspector évalue automatiquement les applications afin de déterminer leur exposition et de détecter les éventuelles failles ou les écarts par rapport aux bonnes pratiques. Après avoir effectué une évaluation, Amazon Inspector produit une liste détaillée de constatations en matière de sécurité, classées par niveau de gravité.

Amazon CloudWatch Events permet de configurer votre compte AWS pour envoyer des événements vers d'autres comptes AWS ou pour devenir un récepteur d'événements provenant d'autres comptes ou organisations. Ce mécanisme peut être très utile pour mettre en œuvre des scénarios de réponse aux incidents entre comptes, en prenant des mesures correctives opportunes (par exemple, en appelant une fonction Lambda ou en exécutant une commande sur une instance Amazon EC2) chaque fois qu'un incident de sécurité se produit.

AWS security services flow diagram showing data path from sources to target options.

Figure 5 – Mesures prises avec AWS Security Hub et Amazon CloudWatch Events

AWS Organizations vous aide à gérer et à gouverner de manière centralisée des environnements complexes. Il permet de contrôler l'accès, la conformité et la sécurité dans un environnement multicomptes. AWS Organizations prend en charge les politiques de contrôle des services, qui définissent les actions de service AWS disponibles pour une utilisation avec des comptes ou des unités d'organisation (UO) spécifiques au sein d'une organisation.

AWS Systems Manager vous donne la visibilité et le contrôle de votre infrastructure sur AWS. Vous pouvez afficher les données opérationnelles de plusieurs services AWS à partir d'une console unifiée et automatiser les tâches opérationnelles entre ces services. Vous pouvez obtenir des informations à propos des activités d'API récentes, des modifications de configuration des ressources, des alertes opérationnelles, de l'inventaire des logiciels et de l'état de conformité des correctifs. Grâce à l'intégration à d'autres services AWS, vous pouvez également prendre des mesures sur les ressources en fonction de vos besoins opérationnels, afin de rendre votre environnement conforme.

Par exemple, en intégrant Amazon Inspector à AWS Systems Manager, les évaluations de sécurité sont simplifiées et automatisées, car vous pouvez installer l'agent Amazon Inspector automatiquement à l'aide d'Amazon Elastic Compute Cloud Systems Manager lorsqu'une instance Amazon EC2 est lancée. Vous pouvez également effectuer des corrections automatiques par rapport aux résultats d'Amazon Inspector à l'aide des fonctions Amazon EC2 System Manager et Lambda.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Découverte et protection des données à grande échelle

Protection de vos données sur AWS