Je souhaite avoir des informations sur la sécurité dans la conception
Sécurité dans la conception

La sécurité dans la conception (Security by Design, SbD) est une approche en matière d'assurance de sécurité qui formalise la conception de compte AWS, automatise les contrôles de sécurité et rationnalise les audits. Au lieu de contrôler la sécurité rétroactivement, la sécurité dans la conception assure un contrôle de la sécurité intégré tout au long du processus de gestion informatique d'AWS. En utilisant les templates CloudFormation de la sécurité dans la conception, il est possible d'améliorer et d'élargir la sécurité et la conformité dans le cloud.

La sécurité dans la conception englobe une approche en quatre étapes afin d'assurer la sécurité et la conformité à grande échelle, pour plusieurs secteurs, normes et critères de sécurité. La sécurité dans la conception d'AWS peut être utilisée lors de la création de capacités de sécurité et de conformité pour toutes les phases de la sécurité en permettant au client de concevoir tous les éléments de l'environnement client AWS : permissions, journalisation, relations d'approbation, application d'un chiffrement, imposition d'images machine approuvées, etc. La sécurité dans la conception permet aux clients d'automatiser la structure frontale d'un compte AWS, en codant en toute confiance la sécurité et la conformité dans les comptes AWS. La non-conformité des contrôles informatiques appartient désormais au passé.


La sécurité dans la conception décrit les responsabilités en matière de contrôle, l'automatisation des bases élémentaires en matière de sécurité, la configuration de sécurité et l'audit par le client des contrôles de l'infrastructure client AWS, les systèmes d'exploitation, les services et les applications exécutés sur AWS. Cette conception normalisée, automatisée, normative et reproductible peut être déployée pour les cas d'utilisation courants, les normes de sécurité et les exigences en matière d'audit pour plusieurs secteurs et charges de travail.

AWS recommande d'intégrer la sécurité et la conformité dans votre compte AWS en adoptant une approche en quatre phases :

Phase 1 – Compréhension de vos exigences. Décrivez vos politiques, puis documentez les contrôles que vous héritez d'AWS. Documentez ensuite les contrôles qui vous appartiennent et que vous exploitez dans votre environnement AWS, puis déterminez quelles règles de sécurité vous souhaitez appliquer au sein de votre environnement informatique AWS.

Phase 2 – Création d'un « environnement sécurisé » adapté à vos besoins et à votre mise en œuvre. Définissez la configuration dont vous avez besoin sous la forme de valeurs de configuration AWS, par ex. : exigences en matière de chiffrement (forçage du chiffrement côté serveur pour les objets S3), octroi d'autorisations aux ressources (quels rôles s'appliquent à certains environnements), images de calcul autorisées (selon les images renforcées de serveurs que vous avez autorisées) et type de journalisation devant être activé (par ex., application de CloudTrail sur les ressources applicables). Etant donné qu'AWS fournit des options de configuration matures (et lance de nouveaux services en permanence), des templates seront disponibles pour assurer la conformité de votre environnement avec les contrôles de sécurité. Ces templates de sécurité(sous la forme de templates AWS CloudFormation) fournissent un ensemble de règles plus complet qui peut systématiquement être appliqué. AWS a mis au point des templates qui fournissent des règles de sécurité conformes à plusieurs cadres de sécurité. Pour en savoir plus, consultez notre livre blanc « Introduction to Security by Design ».

Si vous avez besoin d'aide pour créer cet « environnement sécurisé », consultez nos architectes expérimentés, les services professionnels AWS et nos partenaires spécialistes de la transformation de l'informatique. Ces équipes peuvent collaborer avec votre personnel et vos équipes d'audit pour vous aider à mettre en œuvre des environnements client sécurisés de haute qualité lors de la prise en charge d'audits réalisés par des tiers.

Phase 3 – Application des templates. Activez le catalogue des services et appliquez votre template dans le catalogue. Lors de cette étape, votre « environnement sécurisé » est appliqué dans de nouveaux environnements en cours de création et empêche quiconque de créer un environnement qui ne respecte pas les règles de sécurité qui lui sont associées. Les configurations de sécurité restantes des contrôles du compte client sont ainsi opérationnelles et efficaces en préparation de l'audit.

Phase 4 – Exécution des activités de validation. Le déploiement d'AWS via les templates du catalogue des services et de l'« environnement sécurisé » permet de créer un environnement prêt à faire l'objet d'un audit. Les règles que avez définies dans votre template peuvent servir de guide d'audit. AWS Config vous permet de capturer l'état actuel d'un environnement qui peut ensuite être comparé aux règles de votre « environnement sécurisé » Vous profitez ainsi de fonctions de collecte de preuves d'audit grâce à des permissions d'« accès en lecture » sécurisées ainsi qu'à des scripts uniques qui permettent d'automatiser l'audit à des fins de collecte de preuves. Les clients seront en mesure de convertir des contrôles administratifs manuels traditionnels en contrôles techniques. Ils ont ainsi la garantie que si les contrôles sont conçus et définis correctement, les contrôles fonctionnent à 100 % à tout moment, contrairement aux méthodes d'audit d'échantillons traditionnelles ou aux évaluations à un instant donné.

Cet audit technique peut être accompagné de conseils et d'orientations préalables, tels qu'une assistance et une formation destinées aux experts du client pour s'assurer que le personnel chargé de l'audit comprend les capacités d'automatisation d'audit uniques fournies par le cloud AWS.

Sécurité AWS
Cloud AWS Sécurité dans la conception

AWS Impact de la sécurité dans la conception

L'approche de la sécurité dans la conception vise à atteindre les objectifs suivants :

• création de fonctions de forçage qui ne peuvent être modifiées que par les utilisateurs autorisés ;
• garantie de la fiabilité de fonctionnement des contrôles ;
• activation d'audits continus et en temps réel ;
• établissement de scripts techniques pour votre politique de gouvernance.

Vous profitez ainsi d'un environnement automatisé activant les capacités d'assurance de sécurité, de gouvernance, de sécurité et de conformité de votre environnement. Les clients peuvent désormais mettre en œuvre en toute confiance les dispositions existantes des politiques, normes et règlements. De plus, les clients peuvent créer une sécurité et une conformité applicables, ce qui permet, à son tour, la conception d'un modèle de gouvernance fonctionnel et fiable pour les environnements client AWS.


Livres blancs

Familiarisez-vous avec le concept en consultant le livre blanc Security by Design.

Participez à l'atelier d'autoformation « Auditing your AWS Architecture ». Vous découvrirez les fonctionnalités et les interfaces d'AWS, notamment les options de configuration mises à la disposition des experts et des propriétaires de contrôles de sécurité.

Familiarisez-vous avec les ressources appropriées supplémentaires mises à votre disposition :
a. Amazon Web Services : Présentation des procédures de sécurité
b. Livre blanc Introduction to Auditing the Use of AWS
c. Federal Financial Institutions Examination Council (FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

Ressources Sécurité dans la conception

 

Contactez-nous