Sécurité dans la conception

La sécurité dans la conception décrit les responsabilités en matière de contrôle, l'automatisation des bases élémentaires en matière de sécurité, la configuration de sécurité et l'audit par le client des contrôles de l'infrastructure client AWS, les systèmes d'exploitation, les services et les applications exécutés sur AWS. Cette conception normalisée, automatisée, normative et reproductible peut être déployée pour les cas d'utilisation courants, les normes de sécurité et les exigences en matière d'audit pour plusieurs secteurs et charges de travail.

AWS recommande d'intégrer la sécurité et la conformité dans votre compte AWS en adoptant une approche en quatre phases :

Phase 1 – Compréhension de vos exigences. Décrivez vos politiques, puis documentez les contrôles que vous héritez d'AWS. Documentez ensuite les contrôles qui vous appartiennent et que vous exploitez dans votre environnement AWS, puis déterminez quelles règles de sécurité vous souhaitez appliquer au sein de votre environnement informatique AWS.

Phase 2 – Création d'un « environnement sécurisé » adapté à vos besoins et à votre mise en œuvre. Définissez la configuration dont vous avez besoin sous la forme de valeurs de configuration AWS, par ex. : exigences en matière de chiffrement (forçage du chiffrement côté serveur pour les objets S3 par exemple), octroi d'autorisations aux ressources (quels rôles s'appliquent à certains environnements), images de calcul autorisées (selon les images renforcées de serveurs que vous avez autorisées) et type de journalisation devant être activé (par ex., application de CloudTrail sur les ressources applicables). AWS fournit des options de configuration matures et lance de nouveaux services en permanence. AWS met également à votre disposition des modèles pour assurer la conformité de votre environnement avec les contrôles de sécurité. Ces modèles de sécurité (sous la forme de modèles AWS CloudFormation) fournissent un ensemble de règles plus complet qui peut systématiquement être appliqué. AWS a mis au point des modèles qui fournissent des règles de sécurité conformes à plusieurs cadres de sécurité. Pour en savoir plus, consultez notre livre blanc Introduction à la sécurité dans la conception.

Si vous avez besoin d'aide pour créer votre « environnement sécurisé », consultez nos architectes expérimentés, les services professionnels AWS et les solutions partenaires AWS. Ces équipes peuvent collaborer avec votre personnel et vos équipes d'audit pour vous aider à mettre en œuvre des environnements sécurisés de haute qualité lors de la prise en charge d'audits réalisés par des tiers.

Phase 3 – Application des modèles. Avec AWS Service Catalog, vous pouvez demander l'utilisation de votre modèle dans le catalogue. Il s'agit de l'étape qui garantit l'utilisation de votre environnement sécurisé dans tous les nouveaux environnements créés et qui empêche quiconque de créer un environnement qui ne serait pas en accord avec les règles de sécurité de votre environnement sécurisé. Le fait de demander l'utilisation de votre modèle dans le catalogue vous permet de vous assurer que les configurations de sécurité des contrôles restantes sont prêtes à être évaluées.

Phase 4 – Exécution des activités de validation. Le déploiement d'AWS via les modèles du catalogue des services et de l'« environnement sécurisé » permet de créer un environnement prêt à faire l'objet d'un audit. Les règles que vous avez définies dans votre modèle peuvent servir de guide d'audit. AWS Config vous permet de capturer l'état actuel d'un environnement qui peut ensuite être comparé aux règles de votre « environnement sécurisé » En utilisant des autorisations d'accès en lecture seule sécurisée et des scripts uniques, vous pouvez favoriser l'automatisation des audits pour la collecte d'éléments de preuve. Vous pouvez convertir des contrôles administratifs manuels traditionnels en contrôles techniquement renforcés en sachant que, s'ils sont bien conçus et délimités, ces contrôles fonctionnent à 100 % à tout moment, résultat qu'il n'est pas possible d'obtenir avec les méthodes d'échantillonnage d'un audit traditionnel ou des examens ponctuels.

Cet audit technique peut être amélioré par des conseils et des orientations préalables, tels qu'une assistance et une formation destinées à vos experts pour s'assurer que le personnel chargé de l'audit comprend les capacités d'automatisation d'audit uniques fournies par le cloud AWS.

L'approche de sécurité dans la conception peut produire les résultats suivants :

• Création de fonctions de forçage qui ne peuvent être modifiées que par les utilisateurs autorisés.
• Mise en place d'un fonctionnement fiable des contrôles.
• Activation d'audits continus et en temps réel.
• Établissement de scripts techniques pour votre politique de gouvernance.

Vous profitez ainsi d'un environnement automatisé activant les capacités d'assurance de sécurité, de gouvernance, de sécurité et de conformité de votre environnement. Vous pouvez désormais mettre en œuvre en toute confiance les dispositions des politiques, normes et règlements qui n'existaient auparavant qu'à l'écrit. De plus, vous pouvez créer une sécurité et une conformité applicables, ce qui permet, à son tour, la conception d'un modèle de gouvernance fonctionnel et fiable pour vos environnements AWS.