La technologie cloud a conquis le monde ces dernières années. Les entreprises technologiques ont migré vers le cloud ou sont en train de le faire. Cette rapidité s'explique principalement par la facilité d'utilisation, la simplification de la gestion de l'infrastructure, la fin des problèmes d'évolutivité et la rentabilité. Chaque médaille a deux faces, et la technologie cloud ne fait pas exception. La technologie cloud est confrontée à ses propres défis. Le plus important d'entre eux est la sécurité du cloud.
AWS, alias Amazon Web Services, est un fournisseur de services cloud qui détient la plus grande part de marché en 2024. AWS détient actuellement 32 % des parts de marché, et la raison pour laquelle il détient la plus grande part de marché n'est pas les avantages offerts par la technologie cloud, mais le nombre d'outils et d'options d'intégration qu'il propose. AWS propose des services pour presque tout ce à quoi vous pouvez penser, y compris l'envoi de messages, la gestion des utilisateurs, la création de machines virtuelles, etc.
Dans cet article, nous allons vous expliquer ce qu'est le cadre de sécurité AWS, comment il fonctionne et pourquoi les entreprises en ont besoin. Nous aborderons également plusieurs méthodes pour sécuriser vos applications web et sans serveur, ainsi que les différents outils et technologies proposés par AWS pour automatiser le processus DevSecOps.
Gestion des identités et des accès dans AWS
Les entreprises comptant des centaines d'employés ont besoin d'un outil approprié pour gérer leurs identités et leur accès aux différentes ressources. Les employés doivent disposer de certains niveaux d'accès en fonction des ressources ou des données dont ils ont besoin, et pour cela, nous avons besoin d'IAM. Dans cette section, nous allons voir comment fonctionne AWS IAM.
- AWS Identity and Access Management (IAM) : IAM est utilisé par les entreprises pour contrôler l'accès aux ressources AWS ou aux données stockées dans AWS pour des raisons de sécurité. Les fonctionnalités IAM sont accessibles via l'interface utilisateur AWS ou l'API. Cet outil aide les administrateurs à gérer de manière centralisée les utilisateurs, les clés d'accès et les autorisations, ce qui leur permet d'être plus efficaces et de réduire l'encombrement.
- AWS Single Sign-On (SSO) : Les comptes et applications AWS peuvent également être gérés à partir d'une source unique à l'aide de la base cloud, le service AWS Single Sign-On (SSO), qui facilite la gestion des comptes SSO AWS.
- AWS Organizations pour la sécurité multi-comptes : Une organisation peut disposer de plusieurs comptes AWS sous le compte racine ou principal. Le service AWS Organization est fourni pour gérer tous ces comptes. Il est généralement utilisé lorsque des entreprises acquièrent de petites entreprises ou que certaines équipes créent des comptes distincts en fonction du cas d'utilisation.
Mise en œuvre de la sécurité réseau et de la protection des données AWS
La sécurité réseau est un processus utilisé pour protéger les informations sensibles sur les réseaux (qui transitent de la source à la destination). La sécurité réseau peut être mise en œuvre de plusieurs façons, par exemple en utilisant du matériel, des logiciels et des protocoles dans le but final de protéger les données. Voici quelques-uns des outils fournis par AWS pour la protection des données :
Cloud privé virtuel
Amazon Virtual Private Cloud (VPC) permet de créer des sections isolées au sein du cloud qui seront isolées du reste du cloud. Ces réseaux isolés isolent les ressources utilisées dans le réseau, fournissant à la fois des sous-réseaux publics et privés, ce qui contribue à protéger les ressources sensibles contre l'accès direct à Internet.
Groupes de sécurité et listes de contrôle d'accès au réseau
AWS fournit deux outils pour contrôler le trafic au sein du VPC. Le premier est les groupes de sécurité, dans lesquels AWS fournit un type de pare-feu virtuel qui fonctionne au niveau de l'instance et garantit qu'il peut être configuré pour le trafic entrant et contrôler le trafic sortant à l'aide de la plage IP, du port, du protocole, etc. L'autre est les listes de contrôle d'accès au réseau (NACL). Ces règles fonctionnent au niveau du réseau, dans ce cas au niveau du sous-réseau, et contrôlent également le trafic entrant et sortant.
AWS Private Link et points de terminaison VPC
Si une organisation ou un client souhaite accéder au service AWS sans utiliser l'Internet public, il peut utiliser AWS PrivateLink, qui est l'un des points de terminaison VPC. PrivateLink permet aux clients d'accéder aux services en toute sécurité, ainsi qu'aux ressources VPC à partir des services AWS et des services de point de terminaison VPC.
Chiffrement des données
Le chiffrement des données AWS est l'un des outils de sécurité les plus importants qui permet de protéger les données sensibles à la fois au repos (données au repos) et en transit (données en mouvement). Afin de protéger les données au repos, il est possible d'utiliser des services AWS tels qu'Amazon EBS, S3 et RDS, qui peuvent être directement configurés pour crypter automatiquement les données qu'ils contiennent (l'activation directe du cryptage peut ne pas fonctionner pour les cas d'utilisation complexes de stockage de données). Dans l'autre cas, lorsque les données sont en transit, les protocoles SSL/TLS peuvent être utilisés avec des connexions VPN pour éviter que des pirates n'interceptent les données.
AWS Certificate Manager
Pour que les techniques de chiffrement fonctionnent correctement dans AWS, on utilise AWS Certificate Manager (ACM). ACM aide à provisionner, gérer et déployer des certificats SSL/TLS, ainsi qu'à gérer leur renouvellement. Il est largement utilisé par les entreprises qui utilisent AWS pour déployer des applications web.
Types de cadres de sécurité AWS
Voici quelques-uns des principaux types de cadres de sécurité fournis par AWS :
1. AWS Cloud Adoption Framework (CAF)
AWS CAF aide les fournisseurs à adopter une approche axée sur la sécurité et à définir les meilleures pratiques en matière de sécurité des données. Il vise davantage à montrer aux entreprises comment elles peuvent garantir un équilibre adéquat entre sécurité et activité, solutions IAM doivent être mises en œuvre, et comment les entreprises peuvent se conformer aux exigences fédérales des organismes gouvernementaux. Ce cadre est davantage un guide qui montre aux entreprises comment elles peuvent mettre en œuvre et intégrer la sécurité dans leurs activités.
2. Cadres de conformité
AWS dispose d'un programme officiel de sécurité et de conformité, et impose certaines exigences. AWS a conçu un certain nombre de services d'infrastructure afin de garantir que les organisations répondent à leurs besoins réglementaires, tels que PCI DSS (Payment Card Industry Data Security Standard for the Payment Card Industry), HIPAA et SOC2.
3. AWS Control Tower
AWS Control Tower est un service qui aide les fournisseurs de services à mettre en place un environnement AWS multi-comptes sécurisé et conforme. Il peut être utilisé pour configurer les principaux rôles des comptes et les bases des services qui ajoutent des fonctionnalités permettant de partager des comptes, d'accéder aux données dans le cloud et de gérer la résolution des problèmes de configuration des comptes.
4. Cadre de protection des données
AWS fournit des conseils et des services pour aider à protéger les données sensibles et les informations personnelles identifiables de l'entreprise. Cela inclut la protection des données au repos et en mouvement. Cela peut se faire par le biais de la gestion des données, notamment la gestion des clés de chiffrement, la surveillance, les contrôles d'accès et les modèles d'utilisation des appareils.
5. Cadre de réponse aux incidents
La réponse aux incidents est un plan utilisé par les entreprises pour gérer, répondre et se remettre d'un incident de sécurité. Les utilisateurs AWS peuvent élaborer un plan de réponse aux incidents solide à l'aide d'AWS CloudTrail pour auditer l'utilisation des API, d'Amazon GuardDuty pour détecter les menaces et d'AWS Systems Manager pour automatiser les mesures de réponse.
6. Modèle de responsabilité partagée
Il ne s'agit pas d'un cadre, mais d'un concept important à comprendre en termes de sécurité AWS. Selon ce modèle, la responsabilité de la sécurisation des données n'incombe pas uniquement au fournisseur de cloud, mais également à l'utilisateur final.
Outils AWS pour la surveillance de la sécurité, la journalisation et la conformité
AWS propose plusieurs services pour la journalisation, la surveillance et la conformité. En voici quelques-uns :
N° 1. AWS CloudTrail
AWS CloudTrail est utilisé pour la surveillance et l'audit de la sécurité. Il fournit une trace de journalisation pour chaque action susceptible d'avoir été effectuée sur un service AWS par un utilisateur, un rôle ou un service AWS lui-même.
N° 2. Amazon CloudWatch
Amazon CloudWatch aide à surveiller les ressources et les applications que l'utilisateur exécute sur AWS. Il est utilisé pour surveiller les ressources AWS telles que les instances Amazon EC2, les tables Amazon Dynamo DB et bien d'autres encore.
#3. AWS Config
AWS Config permet de suivre la configuration des ressources AWS utilisées par les utilisateurs dans leurs comptes. Il compare essentiellement les configurations des utilisateurs aux paramètres souhaités, ce qui permet de maintenir la sécurité et la conformité comme objectif final.
#4. AWS Artifact
Afin d'obtenir des informations relatives à la conformité à partir des rapports de sécurité et de conformité d'AWS et des accords en ligne, AWS propose le service AWS Artifact. Ce service fournit aux utilisateurs plusieurs documents de conformité, notamment les certifications ISO d'AWS, les rapports PCI (Payment Card Industry) et les rapports SOC (Service Organization Control).
#5. AWS Control Tower
AWS Control Tower fournit un cadre utilisé par les entreprises pour mettre en place un environnement AWS multi-comptes. Il garantit une politique multi-comptes conforme et bien gérée en maintenant une politique uniforme pour tous les comptes et toutes les unités organisationnelles.
#6. AWS Audit Manager
AWS Audit Manager est un service qui surveille votre utilisation d'AWS afin de vous permettre d'évaluer plus facilement les risques et la conformité aux réglementations et aux normes industrielles. Il collecte automatiquement des preuves, réduisant ainsi les efforts manuels nécessaires à la préparation d'un audit.
Détection des menaces et réponse aux incidents dans les environnements AWS
Il est important de pouvoir détecter et répondre rapidement aux menaces de sécurité. Voici quelques-uns des outils proposés par AWS à cette fin :
-
Amazon GuardDuty
AWS fournit aux utilisateurs un service intelligent de détection des menaces appelé Amazon GuardDuty. Cet outil surveille en permanence toute activité menaçante ou tout comportement non autorisé dans le compte AWS. Ce service est capable d'analyser un nombre illimité d'enregistrements provenant des sources de données AWS en utilisant l'apprentissage automatique, la détection des anomalies et des informations intégrées sur les menaces.
-
AWS Security Hub
De nombreux problèmes de sécurité peuvent survenir dans votre environnement AWS. Afin d'identifier les plus critiques, l'administrateur peut utiliser AWS Security Hub, qui fournit une vue d'ensemble de la posture de sécurité et organise et hiérarchise les alertes pour les menaces critiques.
-
Amazon Detective
Pour accélérer considérablement les enquêtes de sécurité, les organisations peuvent utiliser Amazon Detective, qui utilise l'apprentissage automatique et la théorie des graphes pour créer un ensemble de données liées à partir des ressources AWS.
-
Amazon Macie
La protection des données est une nécessité absolue pour toute organisation. Amazon propose Amazon Macie, qui utilise l'apprentissage automatique et la correspondance de modèles pour protéger les données sensibles dans AWS. Il peut également fournir une liste des compartiments Amazon S3 susceptibles de contenir des données non cryptées ou accessibles au public (c'est-à-dire mal configurées).
-
AWS IoT Device Defender
Lorsqu'elles utilisent des appareils IoT, les organisations doivent faire attention à des problèmes tels que les certificats d'identité partagés entre plusieurs appareils ou les appareils présentant un trafic sortant anormalement élevé, ce qui pourrait indiquer qu'ilsparticipent à une attaque DDoS. Ces problèmes sont automatiquement pris en charge par AWS IoT Device Defender, qui sécurise ainsi l'infrastructure matérielle.
Comment sécuriser les applications Web et sans serveur dans AWS
Les services Web sont courants de nos jours, les développeurs utilisant un serveur Web pour déployer des applications, mais le sans serveur est un concept nouveau. Dans les environnements sans serveur, les développeurs n'ont pas à gérer ni à maintenir l'infrastructure ; tout est pris en charge par le fournisseur de cloud. Examinons les principaux services et leurs rôles qui peuvent être utilisés pour protéger vos applications Web et sans serveur :
1. AWS WAF (Web Application Firewall)
Les exploits Web courants peuvent affecter la disponibilité de votre application, compromettre sa sécurité ou entraîner une consommation excessive de ressources. AWS WAF protège notre application contre toutes ces menaces. Il permet aux utilisateurs de créer des règles de sécurité pour contrôler le trafic des robots et bloquer les modèles d'attaque courants, tels que l'injection SQL ou les scripts intersites.
2. Amazon Inspector
L'un des services AWS qui nous aide à garantir notre conformité est Amazon Inspector, qui analyse l'exposition, les vulnérabilités et les meilleures pratiques de l'application. Amazon Inspector fournit un rapport détaillé sur tous ces éléments et leur niveau de gravité. Ces rapports contiennent également des suggestions sur la manière de résoudre les problèmes.
3. AWS Shield
AWS Shield est un service de protection contre les dénis de service distribués (DDoS) qui vise à minimiser les temps d'arrêt et la latence des applications. Il sécurise les applications exécutées sur AWS contre tous les types d'attaques DDOS.
4. AWS Firewall Manager
AWS Firewall Manager facilite la configuration et la gestion centralisées des groupes de sécurité AWS WAF, AWS Shield Advanced et Amazon VPC sur l'ensemble de vos comptes et applications. AWS Firewall Manager simplifie la gestion de plusieurs règles de sécurité et la protection continue des charges de travail.
5. AWS Network Firewall
AWS Network Firewall facilite le déploiement de protections réseau pour tous les Amazon Virtual Private Clouds. Avec AWS Network Firewall, vous pouvez créer des politiques de sécurité avec des règles de pare-feu qui offrent un contrôle précis du trafic réseau sur vos VPC.
Différents outils pour mettre en œuvre l'automatisation de la sécurité et DevSecOps
Il est important d'intégrer l'automatisation de la sécurité dans le processus DevOps afin d'obtenir un niveau de sécurité plus élevé. Voici quelques-uns des outils AWS qui nous aident à y parvenir :
-
AWS Systems Manager
AWS Systems Manager est un service de gestion qui vous aide à collecter automatiquement l'inventaire des logiciels, à appliquer les correctifs du système d'exploitation, à créer des images système et à configurer les systèmes d'exploitation Windows et Linux.
-
AWS CloudFormation
AWS CloudFormation fournit un langage commun qui vous permet de définir et de provisionner des ressources AWS et des applications tierces dans votre environnement cloud. En termes de sécurité, CloudFormation vous permet de définir des contrôles de sécurité dans le cadre de vos modèles d'infrastructure et de les appliquer sans travail supplémentaire.
-
Intégration avec les pipelines CI/CD
Les entreprises utilisent des pipelines CI/CD pour créer, tester et déployer des applications. Les services et fonctionnalités AWS suivants peuvent être intégrés à vos pipelines CI/CD existants afin d'améliorer la sécurité globale du cycle de création.
- AWS CodePipeline aide à gérer le processus de publication et intègre des contrôles de sécurité à différentes étapes.
- Amazon CodeGuru Reviewer peut effectuer des revues de code automatisées afin d'identifier les failles de sécurité et de suggérer des corrections en conséquence.
- AWS CodeBuild peut être configuré pour exécuter des analyses et des tests de sécurité dans le cadre du processus de création.
- La fonctionnalité Amazon ECR scan on push peut analyser automatiquement les images de conteneurs à la recherche de vulnérabilités lorsqu'elles sont poussées vers le registre satisfaisant ou le registre de conteneurs.
-
Réponse et correction automatisées d'AWS Security Hub
La réponse et la correction automatiques d'AWS Security Hub vous permettent de réagir aux problèmes de sécurité détectés en prenant automatiquement des mesures. Elles s'appuient sur les documents AWS Systems Manager Automation pour résoudre les problèmes de sécurité courants. Par exemple, si Security Hub détecte une règle de groupe de sécurité trop permissive, il peut automatiquement modifier la règle pour restreindre l'accès.
Meilleures pratiques pour AWS Security
Largement utilisé, AWS est une cible de choix pour les pirates. Examinons quelques-unes des meilleures pratiques à mettre en œuvre lors de l'utilisation de la sécurité AWS.
N° 1. Mise en œuvre de l'accès avec le moins de privilèges possible
Le principe du moindre privilège stipule que seules les autorisations minimales absolument nécessaires aux utilisateurs et aux services pour accomplir leur travail doivent être accordées. AWS fournit AWS Identity and Access Management (IAM) pour la création de politiques qui aideront à restreindre l'accès en fonction de conditions spécifiques. Cependant, ces politiques doivent être revues et auditées de temps à autre afin de s'assurer qu'elles sont appropriées et conformes aux dernières normes.
#2. Sécurisation de l'infrastructure réseau
Les clouds privés virtuels (VPC) doivent être correctement vérifiés et configurés afin de maintenir la sécurité de l'infrastructure de l'utilisateur. Les administrateurs AWS peuvent utiliser des groupes de sécurité et des listes de contrôle d'accès au réseau (NACL) pour contrôler le trafic entrant et sortant. Afin de protéger les ressources sensibles, il convient de mettre en œuvre une segmentation du réseau en utilisant des sous-réseaux publics et privés et en plaçant les ressources dans des sous-réseaux privés en fonction de leur criticité et de leur utilisation commerciale.
#3. Stratégies de protection et de chiffrement des données
Les données doivent être chiffrées à la fois au repos et en transit. Les entreprises peuvent utiliser le service AWS Key Management pour créer et gérer des clés de chiffrement. Le chiffrement par défaut doit être activé afin que les données soient cryptées au repos dans les compartiments Amazon S3 et EBS. De plus, les développeurs peuvent utiliser les protocoles SSL/TLS pour crypter les données en transit. Pour contrôler qui peut accéder aux données S3, AWS fournit des politiques de compartiment et des listes de contrôle d'accès.
#4. Surveillance et réponse aux incidents
Les organisations peuvent activer la journalisation et la surveillance détaillées via AWS CloudTrail, Amazon CloudWatch et AWS Config. De plus, l'organisation doit être alertée lorsque des activités suspectes sont automatiquement détectées, et Amazon GuardDuty doit être utilisé pour la détection intelligente des menaces.
#5. Évaluation continue de la sécurité et conformité
AWS recommande de programmer des évaluations de sécurité régulières au sein de l'organisation. L'entreprise peut utiliser Amazon Inspector, un service d'évaluation de la sécurité pour l'évaluation des vulnérabilités. De plus, l'entreprise peut utiliser AWS et des outils tiers pour auditer en continu l'utilisation d'AWS, notamment AWS Audit Manager, afin de se conformer aux politiques et normes de sécurité de l'organisation.
Pourquoi choisir SentinelOne pour la sécurité AWS ?
SentinelOne est une solution de pointe utilisée par des entreprises du monde entier pour protéger leur infrastructure AWS. Elle aide les entreprises à combler leurs lacunes en matière de sécurité grâce à des outils avancés de détection des menaces et à des capacités de réponse automatisées sur divers services AWS. Cela inclut les instances EC2, les conteneurs ou les applications conteneurisées, ainsi que les fonctions sans serveur utilisant AWS Lambda.
SentinelOne utilise des modèles avancés de machine learning et l'analyse comportementale pour identifier et bloquer les attaques de sécurité sophistiquées ou les violations de données. L'outil s'intègre facilement aux services AWS tels que AWS CloudTrail et AWS GuardDuty. Sa facilité d'intégration permet aux entreprises d'adopter plus facilement cet outil.
FAQs
Le cadre de sécurité AWS est composé de plusieurs outils et services de sécurité dont l'objectif unique est de sécuriser l'infrastructure cloud AWS. Certaines des mesures de contrôle du cadre comprennent la gestion des identités et des accès (IAM) pour prendre en charge l'authentification et l'autorisation des utilisateurs, les contrôles réseau pour gérer les groupes de sécurité et les VPC, et les contrôles de protection des données pour assurer le chiffrement et la gestion des clés.
Dans l'environnement AWS, un cadre est une méthode structurée ou un ensemble de recommandations qui aident les utilisateurs finaux (développeurs ou entreprises) à atteindre leurs objectifs (ceux-ci peuvent varier d'une entreprise à l'autre). En général, ces systèmes traitent des meilleures pratiques, des principes de conception et d'une série de questions permettant d'évaluer l'architecture ou les processus existants.
Les six piliers du cadre AWS Well-Architected sont la sécurité, la fiabilité, l'efficacité des performances, l'excellence opérationnelle et l'optimisation des coûts. Chacun de ces piliers contribue à la création de systèmes cloud plus efficaces. L'excellence opérationnelle peut être définie comme l'exécution et la surveillance de systèmes qui permettent le développement de propositions de valeur commerciales et personnelles.
