La technologie cloud s’est imposée dans le monde entier ces dernières années. Les entreprises axées sur la technologie ont soit migré vers le cloud, soit sont en cours de migration. L’une des principales raisons de cette rapidité est la facilité d’utilisation, la réduction de la gestion de l’infrastructure, la disparition des problèmes de scalabilité et l’efficacité des coûts. Chaque médaille a son revers, et la technologie cloud ne fait pas exception. Elle présente ses propres défis. Le plus important d’entre eux est la sécurité du cloud.
AWS, ou Amazon Web Services, est un fournisseur de services cloud et détient la plus grande part de marché en 2024. AWS détient actuellement 32 % de part de marché, et cette position dominante ne s’explique pas seulement par les avantages du cloud, mais aussi par le nombre d’outils et d’options d’intégration proposés. AWS offre des services pour presque tout ce que vous pouvez imaginer, y compris l’envoi de messages, la gestion des utilisateurs, la création de machines virtuelles, etc.
Dans cet article, nous allons expliquer ce qu’est le AWS Security Framework, comment il fonctionne et pourquoi les entreprises en ont besoin. Nous aborderons également plusieurs méthodes pour sécuriser vos applications web et serverless ainsi que les différents outils et technologies proposés par AWS pour automatiser le processus DevSecOps.
Gestion des identités et des accès dans AWS
Les entreprises comptant des centaines d’employés ont besoin d’un outil adapté pour gérer les identités et les accès aux différentes ressources. Les employés doivent disposer de niveaux d’accès spécifiques selon les ressources ou données nécessaires, et pour cela, il faut utiliser IAM. Dans cette section, nous allons expliquer le fonctionnement d’AWS IAM.
- AWS Identity and Access Management (IAM) : IAM est utilisé par les entreprises pour contrôler l’accès aux ressources AWS ou aux données stockées dans AWS pour des raisons de sécurité. Les fonctionnalités IAM sont accessibles via l’interface AWS ou l’API. Cet outil aide les administrateurs à gérer de façon centralisée les utilisateurs, les clés d’accès et les autorisations, leur permettant d’en faire plus et de réduire la complexité.
- AWS Single Sign-On (SSO) : Les comptes et applications AWS peuvent également être gérés à partir d’une source unique grâce au service cloud AWS Single Sign-On (SSO), ce qui facilite la gestion des comptes SSO AWS.
- AWS Organizations pour la sécurité multi-comptes : Une organisation peut disposer de plusieurs comptes AWS sous le compte racine ou principal. Le service AWS Organizations permet de gérer l’ensemble de ces comptes. Cela est généralement utilisé lors de l’acquisition de petites entreprises ou lorsque certaines équipes créent des comptes séparés selon les cas d’usage.
Mise en œuvre de la sécurité réseau et de la protection des données AWS
La sécurité réseau est un processus visant à protéger les informations sensibles sur les réseaux (en transit de la source à la destination). Elle peut être mise en œuvre de différentes manières, notamment via du matériel, des logiciels et des protocoles, dans le but de protéger les données. Voici quelques outils proposés par AWS pour la protection des données :
Virtual Private Cloud
Amazon Virtual Private Cloud (VPC) permet de créer des sections isolées dans le cloud, séparées du reste de l’environnement cloud. Ces réseaux isolés séparent les ressources utilisées, offrant des sous-réseaux publics et privés, ce qui aide à protéger les ressources sensibles contre un accès direct depuis Internet.
Groupes de sécurité et listes de contrôle d’accès réseau
AWS propose deux outils pour contrôler le trafic au sein du VPC. Le premier est les groupes de sécurité, qui agissent comme un pare-feu virtuel au niveau de l’instance et peuvent être configurés pour le trafic entrant et sortant selon la plage IP, le port, le protocole, etc. Le second est les listes de contrôle d’accès réseau (NACLs), qui fonctionnent au niveau du sous-réseau et contrôlent également le trafic entrant et sortant.
AWS Private Link et points de terminaison VPC
Si une organisation ou un client souhaite accéder à un service AWS sans passer par Internet public, il peut utiliser AWS PrivateLink, l’un des points de terminaison VPC. PrivateLink permet d’accéder de manière sécurisée aux services et ressources VPC depuis les services AWS et les services de point de terminaison VPC.
Chiffrement des données
Le chiffrement des données AWS est l’un des outils de sécurité les plus importants pour protéger les données sensibles, aussi bien au repos (data at rest) qu’en transit (data in motion). Pour protéger les données au repos, des services AWS comme Amazon EBS, S3 et RDS peuvent être configurés pour chiffrer automatiquement les données (l’activation directe du chiffrement peut ne pas convenir à certains cas complexes de stockage). Pour les données en transit, les protocoles SSL/TLS peuvent être utilisés avec des connexions VPN pour éviter l’interception des données par des attaquants.
AWS Certificate Manager
Pour que les techniques de chiffrement fonctionnent correctement dans AWS, AWS Certificate Manager (ACM) est utilisé. ACM permet de provisionner, gérer et déployer des certificats SSL/TLS et d’en gérer le renouvellement. Il est largement utilisé par les entreprises qui déploient des applications web sur AWS.
Types de cadres de sécurité AWS
Voici quelques-uns des principaux cadres de sécurité proposés par AWS :
1. AWS Cloud Adoption Framework (CAF)
AWS CAF aide les fournisseurs à adopter une vision sécurité et à définir les bonnes pratiques pour la sécurité des données. Il montre aux entreprises comment assurer un équilibre entre sécurité et business, comment mettre en œuvre des solutions IAM, et comment répondre aux exigences de conformité fédérale. Ce cadre sert de guide pour intégrer la sécurité dans les activités de l’entreprise.
2. Cadres de conformité
AWS dispose d’un programme formel de sécurité et de conformité, avec des exigences définies. AWS a conçu plusieurs services d’infrastructure pour permettre aux organisations de répondre à leurs obligations réglementaires, telles que PCI DSS (Payment Card Industry Data Security Standard), HIPAA et SOC2.
3. AWS Control Tower
AWS Control Tower est un service qui aide les fournisseurs à mettre en place un environnement AWS multi-comptes sécurisé et conforme. Il permet de définir les rôles principaux et la base des services pour partager des comptes, accéder aux données cloud et gérer la résolution des problèmes de configuration des comptes.
4. Cadre de protection des données
AWS fournit des recommandations et des services pour protéger les données sensibles et les données personnelles (PII) de l’entreprise. Cela inclut la protection des données au repos et en transit, via la gestion des clés de chiffrement, la surveillance, les contrôles d’accès et l’analyse des usages des appareils.
5. Cadre de réponse aux incidents
La réponse aux incidents est un plan permettant aux entreprises de gérer, répondre et se remettre d’un incident de sécurité. Les utilisateurs AWS peuvent élaborer un plan solide grâce à AWS CloudTrail pour l’audit des API, Amazon GuardDuty pour la détection des menaces et AWS Systems Manager pour automatiser les actions de réponse.
6. Modèle de responsabilité partagée
Ce n’est pas un cadre, mais un concept clé à comprendre en matière de sécurité AWS. Selon ce modèle, la responsabilité de la sécurité des données incombe à la fois au fournisseur cloud et à l’utilisateur final.
Outils AWS pour la surveillance, la journalisation et la conformité
AWS propose plusieurs services pour la journalisation, la surveillance et la conformité. En voici quelques-uns :
#1. AWS CloudTrail
AWS CloudTrail est utilisé pour la surveillance de la sécurité et l’audit. Il fournit une trace de tous les événements ayant pu affecter un service AWS par un utilisateur, un rôle ou un service AWS lui-même.
#2. Amazon CloudWatch
Amazon CloudWatch permet de surveiller les ressources et applications exécutées sur AWS. Il sert à surveiller des ressources telles que les instances Amazon EC2, les tables Amazon DynamoDB, et bien d’autres.
#3. AWS Config
AWS Config permet de suivre la configuration des ressources AWS utilisées par les utilisateurs dans leurs comptes. Il compare les configurations utilisateur aux paramètres souhaités, ce qui aide à maintenir la sécurité et la conformité.
#4. AWS Artifact
Pour obtenir des informations de conformité à partir des rapports de sécurité et de conformité AWS et des accords en ligne, AWS propose le service AWS Artifact. Ce service fournit divers documents de conformité, notamment les certifications ISO AWS, les rapports PCI et les rapports SOC.
#5. AWS Control Tower
AWS Control Tower fournit un cadre permettant aux entreprises de mettre en place un environnement AWS multi-comptes. Il garantit une politique multi-comptes conforme et bien gouvernée en maintenant une politique uniforme sur tous les comptes et unités organisationnelles.
#6. AWS Audit Manager
AWS Audit Manager est un service qui surveille l’utilisation d’AWS pour faciliter l’évaluation des risques et de la conformité aux réglementations et normes du secteur. Il collecte automatiquement les preuves, réduisant ainsi l’effort manuel de préparation à un audit.
Détection des menaces et réponse aux incidents dans les environnements AWS
La capacité à détecter et à répondre rapidement aux menaces de sécurité est essentielle. Voici quelques outils AWS dédiés à cet objectif :
Amazon GuardDuty
AWS propose un service intelligent de détection des menaces appelé Amazon GuardDuty. Cet outil surveille en continu toute activité suspecte ou comportement non autorisé dans le compte AWS. Il analyse un grand nombre d’enregistrements issus des sources de données AWS grâce à l’apprentissage automatique, la détection d’anomalies et l’intelligence sur les menaces intégrée.
AWS Security Hub
De multiples problèmes de sécurité peuvent survenir dans votre environnement AWS. Pour identifier les plus critiques, l’administrateur peut utiliser AWS Security Hub, qui offre une vue d’ensemble de la posture de sécurité et organise/priorise les alertes pour les menaces critiques.
Amazon Detective
Pour accélérer les investigations de sécurité, les organisations peuvent utiliser Amazon Detective, qui exploite l’apprentissage automatique et la théorie des graphes pour établir des liens entre les données issues des ressources AWS.
Amazon Macie
La protection des données est une nécessité absolue pour toute organisation. Amazon propose Amazon Macie, qui utilise l’apprentissage automatique et la correspondance de modèles pour protéger les données sensibles dans AWS. Il peut également fournir une liste des buckets Amazon S3 susceptibles de contenir des données non chiffrées ou accessibles publiquement (mauvaise configuration).
AWS IoT Device Defender
L’utilisation d’appareils IoT impose de surveiller des problèmes tels que des certificats d’identité partagés entre plusieurs appareils ou un trafic sortant anormalement élevé, pouvant indiquer une participation à une attaque DDoS. Ces problèmes sont automatiquement pris en charge par AWS IoT Device Defender, sécurisant ainsi l’infrastructure matérielle.
Comment sécuriser les applications web et serverless dans AWS
Les services web sont courants aujourd’hui, les développeurs utilisant un serveur web pour déployer des applications, mais le serverless est un concept plus récent. Dans les environnements serverless, les développeurs n’ont pas à gérer ou maintenir l’infrastructure ; tout est pris en charge par le fournisseur cloud. Voici les principaux services et leur rôle pour protéger vos applications web et serverless :
1. AWS WAF (Web Application Firewall)
Les attaques web courantes peuvent affecter la disponibilité de votre application, compromettre sa sécurité ou entraîner une consommation excessive de ressources. AWS WAF protège l’application contre ces menaces. Il permet de créer des règles de sécurité pour contrôler le trafic des bots et bloquer les schémas d’attaque courants, tels que l’injection SQL ou le cross-site scripting.
2. Amazon Inspector
Amazon Inspector est l’un des services AWS qui aide à garantir la conformité en analysant l’exposition de l’application, les vulnérabilités et les bonnes pratiques. Il fournit un rapport détaillé sur ces éléments et leur niveau de gravité, avec des suggestions de résolution.
3. AWS Shield
AWS Shield est un service de protection contre les attaques par déni de service distribué (DDoS) visant à minimiser les interruptions et la latence des applications. Il protège les applications exécutées sur AWS contre tous types d’attaques DDoS.
4. AWS Firewall Manager
AWS Firewall Manager facilite la configuration et la gestion centralisées d’AWS WAF, AWS Shield Advanced et des groupes de sécurité Amazon VPC sur vos comptes et applications. Il simplifie la gestion de multiples règles de sécurité et la protection continue des charges de travail.
5. AWS Network Firewall
AWS Network Firewall facilite le déploiement de protections réseau pour tous les Amazon Virtual Private Clouds. Il permet de créer des politiques de sécurité avec des règles de pare-feu offrant un contrôle précis du trafic réseau sur vos VPC.
Outils pour l’automatisation de la sécurité et DevSecOps
Il est important d’intégrer l’automatisation de la sécurité dans le processus DevOps pour renforcer la posture de sécurité. Voici quelques outils AWS permettant d’y parvenir :
AWS Systems Manager
AWS Systems Manager est un service de gestion qui permet de collecter automatiquement l’inventaire logiciel, d’appliquer des correctifs système, de créer des images système et de configurer les systèmes d’exploitation Windows et Linux.
AWS CloudFormation
AWS CloudFormation fournit un langage commun pour définir et provisionner les ressources AWS et tierces dans votre environnement cloud. En matière de sécurité, CloudFormation permet de définir des contrôles de sécurité dans vos modèles d’infrastructure et de les appliquer sans travail supplémentaire.
Intégration avec les pipelines CI/CD
Les entreprises utilisent des pipelines CI/CD pour construire, tester et déployer des applications. Les services et fonctionnalités AWS suivants peuvent être intégrés à vos pipelines CI/CD existants pour renforcer la sécurité du cycle de développement.
- AWS CodePipeline aide à gérer le processus de publication et intègre des contrôles de sécurité à différentes étapes.
- Amazon CodeGuru Reviewer effectue des revues de code automatisées pour identifier les vulnérabilités et suggérer des corrections.
- AWS CodeBuild peut être configuré pour exécuter des analyses et tests de sécurité lors du processus de build.
- La fonction de scan à l’envoi d’Amazon ECR permet d’analyser automatiquement les images de conteneurs à la recherche de vulnérabilités lors de leur dépôt dans le registre.
Réponse et remédiation automatisées AWS Security Hub
La réponse et la remédiation automatiques d’AWS Security Hub permettent de réagir automatiquement aux résultats de sécurité. Cela repose sur les documents d’automatisation AWS Systems Manager pour résoudre les problèmes courants. Par exemple, si Security Hub détecte une règle de groupe de sécurité trop permissive, il peut automatiquement la modifier pour restreindre l’accès.
Bonnes pratiques pour la sécurité AWS
AWS, en tant que plateforme largement utilisée, est une cible privilégiée pour les attaquants. Voici quelques bonnes pratiques à mettre en œuvre pour renforcer la sécurité AWS.
#1. Mise en œuvre du principe du moindre privilège
Le principe du moindre privilège stipule que seuls les droits strictement nécessaires doivent être accordés aux utilisateurs et services pour accomplir leur travail. AWS propose AWS Identity and Access Management (IAM) pour créer des politiques restreignant l’accès selon des conditions spécifiques. Ces politiques doivent être régulièrement revues et auditées pour s’assurer qu’elles sont adaptées et conformes aux dernières normes.
#2. Sécurisation de l’infrastructure réseau
Les Virtual Private Clouds (VPC) doivent être correctement vérifiés et configurés pour garantir la sécurité de l’infrastructure utilisateur. Les administrateurs AWS peuvent utiliser les groupes de sécurité et les listes de contrôle d’accès réseau (NACLs) pour contrôler le trafic entrant et sortant. Pour protéger les ressources sensibles, il convient de segmenter le réseau à l’aide de sous-réseaux publics et privés, et de placer les ressources critiques dans des sous-réseaux privés selon leur importance et les besoins métier.
#3. Stratégies de protection et de chiffrement des données
Les données doivent être chiffrées à la fois au repos et en transit. Les entreprises peuvent utiliser le service de gestion des clés AWS pour créer et gérer les clés de chiffrement. Le chiffrement par défaut doit être activé pour que les données soient chiffrées au repos dans les buckets Amazon S3 et EBS. Les développeurs peuvent également utiliser les protocoles SSL/TLS pour chiffrer les données en transit. Pour contrôler l’accès aux données S3, AWS propose des politiques de bucket et des listes de contrôle d’accès.
#4. Surveillance et réponse aux incidents
Les organisations peuvent activer la journalisation et la surveillance détaillées via AWS CloudTrail, Amazon CloudWatch et AWS Config. De plus, l’organisation doit être alertée en cas de détection automatique d’activité suspecte, et Amazon GuardDuty doit être utilisé pour la détection intelligente des menaces.
#5. Évaluation continue de la sécurité et conformité
AWS recommande de planifier des évaluations régulières de la sécurité au sein de l’organisation. L’entreprise peut utiliser Amazon Inspector, un service d’évaluation de la sécurité pour l’évaluation des vulnérabilités. Elle peut également utiliser AWS et des outils tiers pour auditer en continu l’utilisation d’AWS, notamment AWS Audit Manager, afin de se conformer aux politiques et normes de sécurité de l’organisation.
Pourquoi SentinelOne pour la sécurité AWS ?
SentinelOne est une solution de référence utilisée par les entreprises du monde entier pour protéger l’infrastructure AWS. Elle aide à combler les lacunes de sécurité grâce à des outils avancés de détection des menaces et des capacités de réponse automatisée sur divers services AWS. Cela inclut les instances EC2, les conteneurs ou applications conteneurisées, et les fonctions serverless via AWS Lambda.
SentinelOne utilise des modèles avancés d’apprentissage automatique et l’analyse comportementale pour identifier et stopper les attaques sophistiquées ou les violations de données. L’outil s’intègre facilement avec des services AWS tels qu’AWS CloudTrail et AWS GuardDuty. Cette facilité d’intégration simplifie l’adoption de l’outil par les entreprises.
SentinelOne peut détecter les exploits zero-day ainsi que les malwares sans fichier (malwares ne nécessitant pas de fichiers exécutables sur le système) dans l’infrastructure cloud, ajoutant ainsi une couche de défense supplémentaire aux contrôles de sécurité existants. Grâce à son architecture cloud-native, l’impact sur les performances AWS est négligeable.
Protection des charges de travail cloud (CWPP) alimentée par l’IA pour les serveurs, machines virtuelles et conteneurs, qui détecte et bloque les menaces à l’exécution en temps réel.
Conclusion
La sécurité AWS n’est pas un simple terme technique ; il s’agit d’une solution de sécurité proposée par AWS pour garantir que les données et applications stockées/hébergées dans AWS sont protégées contre les acteurs malveillants. Le AWS Security Framework est un processus multi-niveaux qui aide les entreprises à identifier et résoudre les problèmes de sécurité dans l’infrastructure AWS. Cela ne repose pas sur quelques outils, mais sur une variété d’outils et de directives pour éviter que les données sensibles ne tombent entre de mauvaises mains.
Le AWS Security Framework prend également en charge les besoins d’automatisation et de scalabilité des organisations. Il propose des services tels qu’AWS Config, CloudFormation et Systems Manager pour intégrer la sécurité en tant que service Infrastructure as Code. Il aide aussi à gérer l’uniformité des politiques de sécurité sur plusieurs comptes AWS au sein d’une même organisation.
Voir SentinelOne en action
Découvrez comment la sécurité du cloud alimentée par l'IA peut protéger votre organisation lors d'une démonstration individuelle avec un expert produit de SentinelOne.
Obtenir une démonstrationFAQ
L’AWS security framework est composé de plusieurs outils et services de sécurité ayant pour objectif unique de sécuriser l’infrastructure cloud AWS. Certains contrôles du framework incluent la gestion des identités et des accès (IAM) pour l’authentification et l’autorisation des utilisateurs, des contrôles réseau pour gérer les groupes de sécurité et les VPC, ainsi que des contrôles de protection des données pour garantir le chiffrement et la gestion des clés.
Dans l’environnement AWS, un framework est une méthode structurée ou un ensemble de recommandations qui aident les utilisateurs finaux (développeurs ou entreprises) à atteindre des résultats (cela peut varier selon l’entreprise). En général, ces systèmes abordent les bonnes pratiques, les principes de conception et une série de questions pour évaluer l’architecture ou les processus existants.
Les six piliers de l’AWS Well-Architected Framework sont la sécurité, la fiabilité, l’efficacité des performances, l’excellence opérationnelle et l’optimisation des coûts. Chacun de ces piliers contribue à la création de systèmes cloud plus efficaces. L’excellence opérationnelle se définit comme l’exploitation et la surveillance des systèmes permettant le développement de propositions de valeur métier et personnelle.
