La sécurité du Système Nitro dans son environnement - La conception de la sécurité du Système AWS Nitro
La sécurité des infrastructures

La sécurité du Système Nitro dans son environnement

Les fonctionnalités du Système Nitro décrites dans ce document s'inscrivent dans le contexte de l'ensemble des contrôles robustes mis en place par AWS pour maintenir la sécurité et la protection des données dans le Cloud AWS. Dans cette section, nous présentons un aperçu de haut niveau des pratiques d’AWS en matière de sécurité et de conformité d'AWS. En tant que client d’AWS, vous bénéficiez de l'ensemble des meilleures pratiques issues des politiques de sécurité d’AWS, de l'architecture et des processus opérationnels conçus pour répondre aux besoins de nos clients les plus exigeants en matière de sécurité.

Les environnements d’AWS sont audités en permanence, avec des certifications délivrées par des organismes d'accréditation de toutes les régions du monde et de tous les secteurs d’activité. AWS Outposts offre également la possibilité aux clients d'exécuter dans leurs propres installations, s’ils le souhaitent, les services AWS de calcul, de stockage, de base de données et d'autres services localement, sur du matériel intégrant le Système Nitro, dans leurs propres installations.

La sécurité des infrastructures

La sécurité chez AWS commence par notre infrastructure de base : le matériel, les logiciels, le réseau et les installations qui exécutent les services du Cloud AWS. Conçue sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde, notre infrastructure est surveillée 24 heures sur 24, 7 jours sur 7 pour garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Avec AWS, vous pouvez vous appuyer sur l'infrastructure mondiale la plus sécurisée, en sachant que vous êtes toujours propriétaire de vos données clients, ce qui inclut la possibilité de les chiffrer, de les déplacer et de gérer leur conservation.

L’accès physique

L'accès physique aux centres de données AWS est strictement contrôlé, à la fois sur tout le périmètre du site et aux points d'entrée des bâtiments, par un personnel de sécurité professionnel utilisant la vidéosurveillance, l'authentification biométrique et à deux facteurs, des systèmes de détection des intrusions et d'autres moyens électroniques. Le personnel habilité doit passer avec succès au moins à deux reprises l'authentification multifactorielle pour pouvoir accéder aux étages informatiques. Tous les visiteurs sont tenus de présenter une pièce d'identité et sont introduits et escortés en permanence par du personnel autorisé. AWS n'autorise l'accès aux centres de données et la diffusion d'informations qu'au personnel et aux sous-traitants en ayant légitimement besoin dans le cadre de leurs activités professionnelles.

Lorsqu'un employé n'a plus besoin de tels privilèges pour remplir ses fonctions, son accès est immédiatement révoqué, même s'il fait toujours partie d'Amazon ou d'Amazon Web Services. Tous les accès physiques aux centres de données par le personnel d'AWS sont systématiquement consignés et audités.

La destruction des médias

Les périphériques de stockage multimédia utilisés pour stocker les données des clients sont classés par AWS comme critiques. AWS respecte des normes rigoureuses concernant l'installation, l'utilisation et enfin la destruction des périphériques lorsqu'ils ne sont plus utilisés. Lorsqu'un périphérique de stockage a atteint la fin de sa durée de vie, AWS met le support hors service à l'aide des techniques détaillées dans la norme NIST 800-88. Les supports qui stockaient des données client restent sous le contrôle d'AWS tant qu'ils n'ont pas été mis hors service en toute sécurité.

La protection des données

Toutes les données transitant sur le réseau mondial AWS qui interconnecte nos centres de données et nos régions sont automatiquement chiffrées au niveau de la couche physique avant d'être transmises entre nos installations sécurisées. Des couches de chiffrement supplémentaires existent également, par exemple le trafic d'appairage VPC interrégional et les connexions TLS client ou service-à-service. Nous fournissons des outils qui vous permettent de chiffrer facilement vos données client en transit comme au repos, pour garantir que seuls les utilisateurs autorisés peuvent y accéder, en utilisant des clés que vous contrôlez et gérées dans AWS KMS, ou en gérant vos propres clés de chiffrement avec AWS CloudHSM à l'aide de HSM certifiés FIPS 140-2 de niveau 3.

Nous vous offrons également le contrôle et la visibilité dont vous avez besoin pour vous conformer aux lois et réglementations régionales et locales en matière de confidentialité des données. La conception de notre infrastructure mondiale vous permet de choisir les régions dans lesquelles se trouvent physiquement les vos données client, ce qui vous permet de respecter vos exigences en matière de localisation des données.